Tíma­setning Canvas-árásarinnar engin til­viljun

Canvas, námsumsjónarkerfi í eigu Instructor, lá niðri í upphafi maímánaðar vegna árása ShinyHunters, hóps netþrjóta, sem höfðu gefið frest til 12. maí til að greiða lausnargjald, annars yrði gögnunum lekið.  

Árásin var alþjóðleg og voru gögn um níu þúsund skóla og 275 milljón einstaklinga undir í árásinni. Instructure, móðurfyrirtæki Canvas, greiddi að endingu lausnargjald og fékk þannig gögnin leyst úr haldi. Ekki hefur verið gefið upp hversu hátt gjaldið var.

„Tæknifólkið hjá okkur var farið að gruna að þeir hefðu borgað því að Instructure var dottið út af síðunni hjá ShinyHunters. En það var ekki staðfest fyrr en 12. maí að þeir hefðu greitt og þá í raun og veru er allt sem við vorum búin að undirbúa okkur undir, að síðan gæti farið aftur niður þarna að kvöldi tólfta, það bara fellur út og við höldum áfram eins og venjulega,“ segir Margrét Sigrún Sigurðardóttir, sviðstjóri kennslusviðs Háskóla Íslands.

Háskólinn hafði fyrir það hvatt nemendur til að sækja sín gögn. Enn hafi einhverjir átt eftir að þreyta sjúkra- og endurtökupróf.

„Þannig að ég hvatti fólk til að sækja gögnin. Kennarar brugðust margir við með því að setja inn einkunnir fyrr heldur en þeir hefðu hugsanlega gert, bara flýttu sér að klára til þess að lenda ekki í vandræðum. Þannig að þetta var í rauninni fyrirbyggjandi af því við áttum alveg eins von á því að þeir myndu gera aðra atlögu þarna þegar fresturinn rann út.“

Margrét segir tímasetninguna á árásinni alls ekki tilviljanakennda. Það hafi verið lokapróf um allan heim og meira og minna um öll Bandaríkin.

Sumir í prófi þegar árásin átti sér stað

„Bandaríkin eru náttúrulega stærsti markaðurinn. Fyrirtækið er skráð í kauphöll í Bandaríkjunum, skráð á markaði í Bandaríkjunum. Þannig að þetta var alveg örugglega ekki tilviljun, þessi tímasetning,“ segir hún og heldur áfram:

„Ég veit til þess að í mörgum bandarískum háskólum voru nemendur hreinlega í miðju prófi inni í Canvas þegar lokunin varð. Þannig að við sluppum kannski þokkalega við að vera á öðrum tíma, þetta er ekki að degi til hjá okkur.“

Margrét segist sem dæmi hafa verið á ráðstefnu í síðustu viku með erlendum háskólum og þar hafi árásin verið nokkuð rædd.

„Í mörgum háskólum hafði enginn orðið var við að kerfið væri niðri vegna þess að það var bara um nótt. Í Evrópu. Það fer niður þarna klukkan níu, rétt rúmlega níu hjá okkur, það er þá klukkan ellefu í Evrópu. Þannig að ég held að við höfum sloppið vel miðað við bandaríska háskóla.“

Auk þess sé HÍ ekki með alla nemendasýslu inni í Canvas eins og margir aðrir háskólar.

„Þannig að það var meira ógnvekjandi fyrir þá háskóla að eiga þetta yfir höfði sér þarna aftur 12. maí og vita þá ekki hvort þeir kæmust lengra inn, hvort þeir myndu ná fleiri gögnum.“

Í flestum tilfellum sé það svo þannig að þegar fyrirtæki lendi í slíkri árás spýti það vel í öryggismálin og því ætti Canvas að vera vel öruggt núna.

„En ég verð að viðurkenna að mér finnst pínu óþægilegt að þeir hafi sett þetta fordæmi að borga, hvort það verði þá fleiri sem reyni að fylgja í kjölfarið.“

Eftir árásina hafi háskólinn uppfært öll sín kerfi og tengingar á milli forrita. Auk þess séu þau alltaf með plan B, að fara aftur í ugluna, þótt það sé ekki ákjósanlegt.

Geta farið aftur í Ugluna

„Við getum farið aftur í Ugluna eins og hún var áður en við tókum upp Canvas. Það er ekki æskilegt, það er svona neyðarráðstöfun sem að yrði kannski svolítið á pari við það þegar við fórum í neyðarfjarkennslu í Covid. Þá er það svona ákveðinn öryggisventill hjá okkur. Það er ekki æskilegt að fara til baka í það en við getum gert það og svo erum við bara að skoða hvaða möguleika við höfum ef svona mál kemur upp aftur.“

Hún segist fegin að ekki hafi orðið stórir eftirmálar af þessu máli. Það séu mikið af gögnum um nemendur inni á Uglu og þau taki það mjög alvarlega.

„Við erum að vinna í þessum málum og erum náttúrulega mjög meðvituð um það að það vill enginn að upplýsingar um nám og námsframvindu leki á netið. Þannig að við gerum allt sem við getum til þess að tryggja öryggi nemenda, en í þessu tilfelli var ekkert sem við gátum gert, sem var náttúrulega bara ofboðslega erfið staða að vera í.“