Attacken mot Canvas visar hur sårbar utbildningssektorn har blivit

Den nyligen uppmärksammade cyberattacken mot den digitala plattformen Canvas, som används i undervisningen på skolor och universitet världen över, visar hur stora konsekvenser ett intrång hos en enskild leverantör kan få. När en central plattform slås ut eller komprometteras påverkas inte bara ett tekniskt system, utan hela verksamheter.

I praktiken leder det till avbruten undervisning, försenade tentor och begränsad tillgång till verktyg för kommunikation och kursarbete. I Canvasfallet rapporterades att angripare fått tillgång till uppgifter om både studenter och personal vid lärosäten i flera länder, såsom namn, e-postadresser och interna meddelanden. Samtidigt förekom driftstörningar som tvingade många organisationer in i akut krishantering.

Utbildningssektorn har under senare år blivit ett av de mest utsatta områdena för cyberangrepp

Händelsen är långt ifrån unik. Utbildningssektorn har under senare år blivit ett av de mest utsatta områdena för cyberangrepp. Skolor och universitet verkar i öppna digitala miljöer med många användare, privata enheter och externa nätverk, samtidigt som beroendet av molntjänster och tredjepartsplattformar är stort.

Många utbildningsorganisationer har dessutom begränsade resurser för IT-säkerhet. Säkerhetsteamen är ofta små och ska skydda komplexa miljöer, något som angripare känner till och utnyttjar. Canvasattacken visar också riskerna med att samla undervisning och administration hos ett fåtal leverantörer, där ett intrång snabbt kan få följdeffekter för tusentals verksamheter.

Mot den bakgrunden blir det tydligt att cybersäkerhet i utbildningssektorn inte kan vara reaktiv. Händelser som den mot Canvas visar hur snabbt ett intrång kan få verksamhetskritiska följder, särskilt i miljöer med många användare och stort beroende av externa plattformar.

Tre åtgärder för bättre skydd

Det krävs ett mer systematiskt och förebyggande arbetssätt, där fokus ligger på kontroll, insyn och förmågan att agera när något händer. I praktiken handlar det om att stärka några centrala områden:

• Stärk kontrollen över identiteter och behörigheter
  Majoriteten av dagens attacker utnyttjar stulna eller svaga användaruppgifter. Därför behöver organisationer prioritera stark autentisering, kontinuerlig övervakning av inloggningar och strikt styrning av behörigheter. Användare ska endast ha de rättigheter de behöver, och privilegierade konton bör begränsas och aktiveras vid behov, så kallad just-in-time access.
• Ställ högre och tydligare krav på leverantörer
  Eftersom beroendet av externa plattformar är stort måste säkerheten sträcka sig utanför den egna organisationen. Det kräver tydliga krav vid upphandling, löpande granskning av leverantörer och transparens kring hur incidenter hanteras. Säkerhet i leverantörsledet behöver behandlas som en strategisk fråga, inte en teknisk detalj.
• Bygg upp förmåga att upptäcka och hantera incidenter
  Att helt förhindra intrång är orealistiskt. Därför är förmågan att snabbt upptäcka och begränsa en incident avgörande. Det innebär investeringar i övervakning, incidentrespons och kontinuitetsplanering, så att verksamheten kan fortsätta även vid störningar.

Sammantaget är det här en fråga som måste upp betydligt högre på agendan, inte minst politiskt. Utbildningssektorn kan inte möta en växande hotbild utan rätt resurser och skarpa krav. Samtidigt är det inte längre hållbart att se IT-säkerhet som en teknisk fråga. I dag är den ett tydligt ledningsansvar. Att regelverk som NIS2 placerar ansvaret på styrelsen understryker det – nu krävs att det också får genomslag i hur vi styr, prioriterar och följer upp.