Sikkerhetsbrudd hos Instructure: Canvas-plattformen berørt

Arbeidet med kartlegging av hendelsen fortsetter

Oppdatering 13.05 kl. 14.37

Sikt og lærestedene fortsetter arbeidet med å kartlegge omfanget av hendelsen og vurdere nødvendige tiltak. 

Vi har fått spørsmål fra flere om politianmeldelse av hendelsen. Sikt har foreløpig ikke tatt stilling til spørsmålet om politianmeldelse, men vil vurdere dette i nærmeste fremtid.

Denne siden oppdateres når ny informasjon foreligger.

Instructure har kommet til enighet med trusselaktøren i Canvas-saken

Oppdatering 12.05 kl. 09.10

I dag tidlig informerte Instructure om at de har kommet til en enighet med angriperne i denne saken. Instructure skal ha mottatt bevis på at data er slettet, og sier at angriperne ikke lenger truer med å legge ut det stjålne datamaterialet på nett.

Hvis data er slettet hos trusselaktøren, er det et positivt utfall for de berørte. Det er likevel viktig å understreke at slike avtaler aldri gir absolutte garantier, det vil alltid være en risiko for at data allerede er kopiert eller kan dukke opp på et senere tidspunkt.

Sikt har hatt tett dialog med Instructure gjennom hele hendelseshåndteringen, men den siste utviklingen i saken kom overraskende på oss. Vi har ikke kjent til at det har pågått forhandlinger mellom Instructure og angriperne før meldingen kom fra leverandør i dag tidlig. Vi har heller ikke ønsket eller oppfordret Instructure til å forhandle med angriperne.  

Hva gjør Sikt nå?

Det gjenstår fortsatt et arbeid for å lukke avviket, Sikt og lærestedene fortsetter arbeidet for fullt for å få klarhet i omfanget av det som har skjedd, og for å vurdere tiltak. Vi viderefører også tett dialog med Instructure fram til avvikene er lukket.

Sikt følger situasjonen tett og oppdaterer informasjonen fortløpende her på sikt.no.

Hvilke råd gir vi ved slike angrep?

Sikt fraråder generelt å gå i dialog med og inngå avtaler med trusselaktører, i tråd med råd fra nasjonale sikkerhetsmyndigheter. 

Instructure kartlegger omfanget av datalekkasjen

Oppdatering 11.05 kl.12.30.

Instructure opplyser at de, sammen med eksterne sikkerhetseksperter, er i gang med å analysere hvordan den enkelte institusjon er berørt av hendelsen. Arbeidet er omfattende og kan ta flere uker. Resultatene vil bli delt med hver enkelt institusjon.

Vi oppdaterer denne siden så snart mer informasjon foreligger.

Canvas utilgjengelig en periode torsdag kveld 7. mai

Oppdatering 08.05 kl. 14.00:

Flere av de norske institusjonene opplevde at Canvas var utilgjengelig torsdag kveld. Dette skyldtes at Canvas var satt i vedlikeholdsmodus. Dette var en sikkerhetsforanstaltning fra Instructure i forbindelse med ytterligere aktivitet fra en trusselaktør. Instructure sier at ingenting tyder på at trusselaktøren fikk utrettet ytterligere skade. Canvas har vært tilgjengelig for alle norske UH-institusjoner fra fredag morgen.

Sikt baserer seg på offisiell informasjon fra Instructure, som oppdaterer sin statusside fortløpende: https://status.instructure.com/. Instructure har også opprettet en egen side for status, spørsmål og svar om hendelsen:

Instructure sendte ut en e-post til berørte institusjoner natt til onsdag 6. mai.

Oppdatering 06.05 kl.13.10:

Informasjonen er rettet mot institusjoner som er bekreftet berørt, men tiltakene de foreslår er relevante for alle. Vi gjengir det som er ny informasjon i e-posten.

Instructure etterforsker fortsatt hendelsen, men bekrefter at en kriminell trusselaktør har fått tilgang til data fra berørte institusjoner, deriblant persondata. Det er foreløpig ingen indikasjoner på at passord, fødselsdatoer, personnummer eller finansiell informasjon er omfattet. Det er heller ingen grunn til å tro at angrepet fortsatt pågår.

Kortsiktige konsekvenser for bruk av Canvas

Instructure setter inn sikkerhetstiltak som kan komme til å påvirke brukeropplevelsen. Dette er nødvendige tiltak for å styrke sikkerheten i Canvas og de beklager eventuelle ulemper dette får for sluttbrukere.

Instructures anbefalte tiltak for berørte organisasjoner

Instructure anbefaler at alle fortsetter å følge beste praksis for datasikkerhet, inkludert, men ikke begrenset til:

• Håndhev flerfaktorautentisering (MFA) på alle privilegerte kontoer, og gjennomgå tildelinger av adminroller for å fjerne alle som ikke bør ha tilgang.
• Involver sikkerhets-, personvern- og juridiske team for å gjennomgå organisasjonens egne varslingsforpliktelser iht. nasjonal lovgivning.
• Følg med på oppdateringer fra Instructure med organisasjonsspesifikke data og sikkerhetstiltak for berørte brukere.

Sikkerhetsbrudd hos Instructure

Publisert 05.05.2026 kl.12:10:

Sikt er gjort kjent med at Instructure har avdekket uautorisert tilgang til systemer i Canvas-plattformen. Det er per nå ikke bekreftet at norske institusjoners brukerdata er eksponert, men vi anser det som sannsynlig og forholder oss til situasjonen deretter.

Følgende brukerinformasjon kan potensielt ha kommet på avveie:

• Navn
• E-postadresser
• Studentidentifikasjonsnumre
• Meldinger mellom brukere

Det er foreløpig ingen indikasjoner på at passord, fødselsdatoer eller finansiell informasjon er omfattet.

Ansvar og oppfølging

Det er den enkelte UH-institusjon som er behandlingsansvarlig for brukerdata i Canvas, og det er inngått databehandleravtale mellom institusjonene og Instructure. Institusjonene er dermed selv ansvarlige for å vurdere varslingsplikt etter personvernregelverket.

Sikt følger opp Instructure løpende og informerer norske institusjoner gjennom samarbeidsforumene i Sikts fellestjeneste for LMS. Oppdatert informasjon fra leverandøren finnes på Instructures offisielle statusside: status.instructure.com

Denne siden oppdateres fortløpende når ny informasjon foreligger.