İngiltere Siber İzleme Merkezi (CMC), Instructure'un Canvas öğrenme yönetim sistemine yönelik siber saldırının ardından eğitim sektörü için kapsamlı bir analiz ve rehberlik yayınladı. Yaklaşık 160 İngiliz yükseköğretim kurumunu etkileyen olayda, tehdit aktörleri gizli ders ve kullanıcı verilerini çaldı. Dünya genelinde ise toplam 9.000 eğitim kurumunun etkilendiği tahmin ediliyor. CMC, olayın minimum kategori eşiğini karşılamasa da, veri ihlali olaylarının finansal etkisini daha iyi anlamak ve yükseköğretim sektöründeki siber riskleri derinlemesine incelemek amacıyla bu değerlendirmeyi yaptı.
Canvas siber saldırısı, 29 Nisan'da Instructure'ın Canvas'ta yetkisiz bir faaliyet tespit etmesiyle başladı. Şirket, bu faaliyetin teknoloji ve eğitim dahil birçok sektörde büyük çaplı saldırılar yapan bir siber suç örgütü tarafından gerçekleştirildiğini açıkladı. 7 Mayıs'ta aynı tehdit aktörü, ikinci bir Canvas güvenlik açığı üzerinden sisteme yeniden sızdı. Saldırganlar, öğrenci ve öğretmenlerin Canvas'ta oturum açtığı sayfalarda değişiklikler yaparak, yaklaşık 330 kurumun Canvas giriş sayfasında bir tahrifat mesajı yayınladı. Bu mesaj, ShinyHunters adlı fidye yazılım grubunun saldırının merkezinde olduğu yönünde yorumlara yol açtı, ancak Instructure kesin bir atıf yapmadı.
CMC, analizinde eğitim kurumlarının bu tür olaylara karşı alması gereken önlemleri sıraladı. Bunlar arasında mimariyi riske göre uyarlama, uygulama ve veri katmanlarını ayırma, çok faktörlü kimlik doğrulamayı (MFA) tutarlı şekilde uygulama, üçüncü taraf erişimini kontrol etme, denizaşırı bağımlılıkları değerlendirme, SaaS güvenliğini güçlendirme ve olay müdahale planlarını test etme yer alıyor. CMC, Canvas olayının veri ihlallerinin büyük çaplı kesintilerden farklı bir mali profile sahip olduğunu gösterdiğini belirtti: Bu olayda kayıplar daha çok yanıt, kurtarma ve risk yönetimi faaliyetlerinden kaynaklandı, uzun süreli iş kesintisinden değil.
Sonuç ve Değerlendirme
Olay sonrası Instructure, saldırganla bir anlaşmaya vardığını ancak para ödenip ödenmediğini açıklamadı. CMC, fidye ödemesi sonrası verilerin silineceğine dair vaatlerin güvenilir olmadığını vurguladı. Öğrenciler için asıl riskin doğrudan şantaj değil, çalınan verilerle daha sofistike kimlik avı (phishing) saldırılarına maruz kalmak olduğu belirtildi. Canvas, bilgilerin kamuya açıklanmasını beklemediğini ancak etkilenenlerin oltalama, smishing ve vishing dolandırıcılıklarına karşı dikkatli olması gerektiğini duyurdu. CMC ayrıca, yazılım sağlayıcılarının olay bildirimleri için CIO veya CISO gibi uygun müşteri temas noktalarını korumaları gerektiğini önerdi.