När vardagsdata blir riskdata
Nära 9 000 skolor och omkring 30 miljoner användare riskerade att påverkas. ShinyHunters ska ha fått tillgång till 3,65 terabyte data, bland annat namn, e-postadresser och meddelanden.
“Att interna meddelanden mellan elever och lärare läckt gör incidenten synnerligen allvarlig”, kommenterar Thomas.
Han pekar också på att allvaret ligger i hur den typen av data kan användas: för att bygga profiler av individer och indirekt avslöja känsliga personuppgifter, som hälsa, religiös övertygelse eller politisk åsikt.
När hotet dras tillbaka, men riskerna kvarstår
Senare nådde Instructure en överenskommelse med hotaktören. ShinyHunters uppgav därefter att kunder inte skulle kontaktas för betalning och att den läckta datan inte längre existerade.
Det förändrar utfallet, men inte riskbilden. Även om hotet om publicering dras tillbaka kan information som varit åtkomlig fortfarande användas – först i falska säkerhetsmeddelanden, senare i mer riktade bedrägeriförsök.
“På längre sikt brukar den här typen av incidenter leda till spear-phishingkampanjer, då det finns relevant information direkt kopplat till namn och e-postadresser”, förtydligar Thomas.
Transparens framför allt
Canvas-intrånget är inte ett argument mot SaaS. Tvärtom löser molntjänster mycket som annars skulle kräva både tid och egen drift. Men när viktiga delar av verksamheten flyttar in i externa plattformar behöver säkerhetsarbetet följa med.
För Thomas är transparens centralt:
”Det är det enda sättet att veta om och hur leverantören arbetar systematiskt med säkerheten. Leverantörer behöver inte visa ritningen till hela sitt skydd. Men de behöver kunna vara öppna med vad de gör för att förbättra säkerheten och hur arbetet följs upp över tid.”
Om SaaS-leverantören drabbas – vet du vad du ska göra?
itm8 har tagit fram en konkret handlingsplan för de första 24–72 timmarna vid en incident hos en kritisk SaaS-leverantör, baserad på rekommendationer från Thomas Öberg.
Ladda ner handlingsplanen här
