Hogeschool Utrecht herstelt Canvas na cyberaanval, diensten nog niet volledig operationeel

De Hogeschool Utrecht (HU) heeft vrijdag 16 mei gemeld dat het online leerplatform Canvas weer gedeeltelijk toegankelijk is na een cyberaanval die het systeem eerder in de week offline zette. Het platform, dat essentieel is voor onderwijs, communicatie en administratie, was enkele dagen niet bereikbaar. Hoewel basisfunctionaliteit is hersteld, melden de autoriteiten dat niet alle diensten volledig operationeel zijn. Dit heeft aanzienlijke gevolgen voor de dagelijkse werkzaamheden van studenten, docenten en administratief personeel.

Canvas is een Learning Management System (LMS) dat door honderden onderwijsinstellingen wereldwijd wordt gebruikt. Voor de HU, met ongeveer 50.000 studenten en ruim 2.500 medewerkers, is het platform cruciaal. Studenten gebruiken Canvas voor inschrijving bij vakken, het downloaden van studiemateriaal, het inleveren van opdrachten, communicatie met docenten en het raadplegen van cijfers. Docenten gebruiken het platform voor het beheren van cursussen, het geven van feedback en het communiceren met studenten. Administratief personeel verwerkt via Canvas onder meer inschrijvingen, roosteringen en rapportages.

De aanval vond plaats in de week van 12 tot 16 mei. De exacte datum waarop het systeem offline ging, is niet publiekelijk gemeld, maar het is waarschijnlijk dat dit maandag 12 mei of dinsdag 13 mei was. Het systeem was gedurende meerdere dagen niet bereikbaar, wat betekent dat honderdduizenden gebruikers geen toegang hadden tot hun cursussen, documenten en communicatiekanalen. Voor studenten die in examenperiode zitten of opdrachten moeten inleveren, veroorzaakte dit directe problemen. Voor docenten betekende het dat zij hun lessen niet konden voorbereiden en geen contact konden onderhouden met hun groepen.

De HU heeft niet openbaar gemaakt wat de aard van de aanval was. Het kan gaan om ransomware, waarbij hackers systemen versleutelen en geld eisen voor ontsleuteling; een Distributed Denial of Service (DDoS)-aanval, waarbij het systeem wordt overspoeld met verzoeken; of een inbraak waarbij hackers toegang probeerden te krijgen tot gevoelige gegevens. Ook is niet duidelijk of persoonlijke gegevens van studenten en medewerkers zijn buitgemaakt. Dit zijn kritieke vragen die veel gebruikers hebben.

Cyberaanvallen op onderwijsinstellingen zijn niet ongebruikelijk. In de afgelopen jaren hebben meerdere Nederlandse universiteiten en hogescholen te maken gehad met cyberaanvallen. In 2023 werd de Universiteit van Amsterdam getroffen door ransomware, waardoor systemen weken offline waren. Ook de Universiteit Utrecht, Erasmus Universiteit Rotterdam en andere instellingen hebben cyberaanvallen doorgemaakt. Onderwijsinstellingen zijn aantrekkelijk doelwitten voor cybercriminelen omdat zij grote hoeveelheden persoonlijke gegevens bezitten, vaak verouderde IT-systemen hebben en onder druk kunnen worden gezet door onderwijs stil te leggen.

De cyberbedreiging is wereldwijd toegenomen. Volgens het Nationaal Cyber Security Centrum (NCSC) stegen cyberaanvallen in Nederland in 2024 met 30 procent ten opzichte van 2023. Ransomware-aanvallen zijn het meest lucratief voor criminelen, met gemiddelde losgeldvorderingen van 100.000 tot 5 miljoen euro. Veel organisaties betalen omdat het sneller is dan weken wachten op herstel. Dit stimuleert cybercriminelen om meer aanvallen uit te voeren.

Gevolgen voor studenten, docenten en bedrijven

De downtime van Canvas heeft directe gevolgen gehad voor de dagelijkse werkzaamheden. Voor studenten betekende het dat zij geen toegang hadden tot studiemateriaal, niet konden communiceren met docenten en niet konden inzien welke opdrachten nog moeten worden ingeleverd. Voor studenten in examenperiode was dit extra problematisch, omdat zij niet konden studeren met online materiaal en geen contact konden onderhouden met docenten over examenstof.

Voor docenten betekende de downtime dat zij hun lessen niet konden voorbereiden, geen feedback konden geven op ingeleverde opdrachten en niet konden communiceren met hun groepen. Dit verstoort de onderwijskwaliteit en kan ertoe leiden dat lessen worden uitgesteld of in aangepaste vorm moeten plaatsvinden.

Voor administratief personeel betekende het dat kritieke processen niet konden worden uitgevoerd. Inschrijvingen, roosteringen, rapportages en andere administratieve taken die afhankelijk zijn van Canvas, konden niet doorgaan. Dit kan leiden tot achterstand in administratieve verwerking en problemen met deadlines.

De HU is niet alleen een onderwijsinstelling, maar ook een werkgever en economische speler in Utrecht. Met 50.000 studenten en 2.500 medewerkers is de HU een van de grootste werkgevers in de regio. De hogeschool werkt samen met honderden bedrijven voor stageplaatsen, afstudeeropdrachten, onderzoeksprojecten en andere samenwerkingen. Een cyberaanval op de HU kan ook gevolgen hebben voor deze bedrijven, vooral als zij afhankelijk zijn van gegevens of communicatie via Canvas.

Bovendien kunnen cyberaanvallen op onderwijsinstellingen gevolgen hebben voor de reputatie en het vertrouwen van studenten en hun ouders. Als persoonlijke gegevens zijn buitgemaakt, kunnen studenten en hun families slachtoffer worden van identiteitsdiefstal, phishing of andere vormen van fraude. Dit kan leiden tot juridische aansprakelijkheid en schadeclaims tegen de HU.

IT-veiligheid en cybersecurity in het onderwijs

De cyberaanval op de HU wijst op een breder probleem in het Nederlandse onderwijs: onvoldoende IT-veiligheid en cybersecurity. Veel onderwijsinstellingen werken met verouderde systemen, hebben beperkte IT-budgetten en beschikken niet over voldoende expertise om geavanceerde cyberaanvallen af te weren. Onderwijsinstellingen concurreren met elkaar om studenten en middelen, wat leidt tot onderinvestering in IT-veiligheid.

De NCSC adviseert organisaties om minimaal 5 tot 10 procent van hun IT-budget uit te geven aan cybersecurity. Veel onderwijsinstellingen geven echter slechts 1 tot 3 procent uit. Dit leidt tot achterstanden in het patchen van beveiligingsgaten, het updaten van systemen, het trainen van personeel en het implementeren van geavanceerde beveiligingsmaatregelen.

Bovendien hebben veel onderwijsinstellingen moeite met het aantrekken en behouden van IT-beveiligingsprofessionals. De arbeidsmarkt voor cybersecurity-experts is zeer competitief, met veel vraag van grote bedrijven en overheidsorganisaties. Onderwijsinstellingen kunnen vaak niet concurreren op salarissen en werkomstandigheden.

Vooruitzicht en vervolgstappen

De HU zal in de komende periode onderzoeken wat er is gebeurd en hoe het systeem beter kan worden beveiligd. Dit onderzoek zal waarschijnlijk door externe cybersecurity-experts worden uitgevoerd. Ook zal de HU waarschijnlijk communiceren met betrokkenen over wat er is gebeurd en welke maatregelen worden genomen.

Voor gebruikers van Canvas is het belangrijk om alert te blijven op verdachte activiteiten. Als persoonlijke gegevens zijn buitgemaakt, kunnen gebruikers slachtoffer worden van phishing-pogingen, waarbij criminelen zich voordoen als de HU en gebruikers vragen om hun inloggegevens in te voeren. Gebruikers moeten voorzichtig zijn met e-mails van onbekende afzenders en niet op verdachte links klikken.

De HU zal waarschijnlijk extra beveiligingsmaatregelen implementeren, zoals multi-factor authenticatie (MFA), waarbij gebruikers niet alleen een wachtwoord moeten invoeren maar ook een code op hun telefoon moeten bevestigen. Ook zal de HU waarschijnlijk meer resources toewijzen aan IT-veiligheid en cybersecurity.

Breder gezien roept de cyberaanval op de HU vragen op over de cybersecurity-strategie van Nederlandse onderwijsinstellingen. Mogelijk zal het ministerie van Onderwijs, Cultuur en Wetenschap (OCW) meer aandacht en middelen toewijzen aan IT-veiligheid in het onderwijs. Ook kunnen brancheorganisaties zoals de VSNU (Vereniging van Universiteiten) en de HOGESCHOLEN (koepelorganisatie van hogescholen) gezamenlijke beveiligingsstandaarden en best practices ontwikkelen.

Voor bedrijven die samenwerken met onderwijsinstellingen is het belangrijk om alert te zijn op mogelijke gevolgen van cyberaanvallen. Zij moeten controleren welke gegevens zij delen met onderwijsinstellingen en welke beveiligingsmaatregelen deze instellingen hebben. Ook moeten zij voorzichtig zijn met phishing-pogingen die zich voordoen als communicatie van onderwijsinstellingen.