De Canvas-hack laat zien waarom Zero Trust geen luxe meer is Cybersecurity stopt niet bij antivirus, firewall of MFA
De recente hack bij Canvas laat opnieuw zien hoe kwetsbaar organisaties zijn geworden door hun afhankelijkheid van digitale platformen. Niet omdat Canvas uniek is, maar juist omdat bijna iedere organisatie tegenwoordig werkt met cloudapplicaties, online leeromgevingen, SaaS-platformen, externe koppelingen en gebruikersaccounts.
Of je nu actief bent in het onderwijs, de zorg, het mkb of de non-profitsector: de digitale werkplek bestaat niet meer uit één server, één kantoor en één netwerk. Medewerkers werken overal. Applicaties draaien in de cloud. Data staat verspreid over verschillende systemen. En leveranciers spelen een steeds grotere rol in de dagelijkse bedrijfsvoering.
Dat maakt IT krachtig en flexibel, maar ook kwetsbaar.
De belangrijkste les van dit soort incidenten is daarom niet: “Gebruik dit platform niet meer.”
De echte les is: richt je IT-omgeving zo in dat één incident, één account of één kwetsbare applicatie niet direct grote schade kan veroorzaken.
Daar draait Zero Trust om.
Wat gebeurde er bij Canvas?
Bij Canvas, het leerplatform van Instructure, werd ongeautoriseerde toegang vastgesteld tot een deel van de omgeving. Daarbij kunnen gegevens zoals namen, e-mailadressen, cursusinformatie, inschrijvingsgegevens en berichten geraakt zijn.
Op het eerste gezicht klinkt dat misschien minder ernstig dan een datalek met wachtwoorden of betaalgegevens. Toch is dat te kort door de bocht.
Cybercriminelen hebben vaak geen compleet dossier nodig om schade aan te richten. Een naam, e-mailadres, rol, cursusnaam of interne conversatie kan al genoeg zijn om een overtuigende phishingmail te maken.
Denk bijvoorbeeld aan een bericht als:
“Vanwege het Canvas-incident moet je opnieuw inloggen om toegang te houden tot je lesmateriaal.”
Of:
“Download deze beveiligde viewer om gedeelde bestanden te herstellen.”
Als zo’n bericht geloofwaardig genoeg is, klikt iemand sneller. Zeker wanneer de timing klopt, de context herkenbaar is en de afzender betrouwbaar lijkt.
Daarom is een datalek bij een externe leverancier nooit alleen een probleem van die leverancier. Het kan direct effect hebben op jouw eigen organisatie.
Waarom dit ook relevant is als je geen Canvas gebruikt
Veel organisaties gebruiken tientallen digitale diensten: Microsoft 365, boekhoudsoftware, CRM-systemen, planningssoftware, EPD’s, leeromgevingen, HR-portalen, ticketingsystemen, cloudopslag en allerlei brancheapplicaties.
Iedere applicatie heeft gebruikers.
Iedere gebruiker heeft rechten.
Iedere koppeling heeft toegang.
Iedere leverancier kan een risico vormen.
Dat betekent niet dat je cloudsoftware moet vermijden. Het betekent wel dat je anders naar beveiliging moet kijken.
De oude gedachte was vaak:
“Binnen ons netwerk is het veilig. Buiten ons netwerk is het onveilig.”
Maar dat onderscheid bestaat bijna niet meer. Medewerkers werken thuis, onderweg en op kantoor. Applicaties staan buiten het eigen netwerk. Data beweegt continu tussen apparaten, gebruikers en clouddiensten.
Daarom is de moderne vraag niet meer: “Zit iemand binnen of buiten ons netwerk?”
De vraag is: “Mag deze gebruiker, op dit apparaat, met deze applicatie, op dit moment, deze actie uitvoeren?”
Dat is Zero Trust.
Wat is Zero Trust?
Niet omdat je medewerkers niet vertrouwt. Maar omdat accounts kunnen worden misbruikt, apparaten besmet kunnen raken en applicaties kwetsbaar kunnen zijn.
Zero Trust draait om een paar duidelijke principes:
Controleer identiteit.
Weet zeker wie toegang vraagt. MFA is hierin belangrijk, maar niet het eindpunt.
Controleer het apparaat.
Is het apparaat bekend, beheerd, up-to-date en veilig genoeg?
Beperk rechten.
Geef gebruikers alleen toegang tot wat ze nodig hebben voor hun werk.
Controleer applicaties.
Niet iedere applicatie of tool mag zomaar draaien of data benaderen.
Beperk schade.
Als er toch iets misgaat, moet het incident klein blijven.
Monitor continu.
Afwijkend gedrag moet zichtbaar worden voordat het uitgroeit tot een groot probleem.
Zero Trust is dus geen los product. Het is een manier van denken én inrichten.
Waarom antivirus alleen niet genoeg is
Antivirus en endpoint security blijven belangrijk. Maar moderne aanvallen zijn slimmer geworden.
Aanvallers gebruiken niet altijd herkenbare virussen. Ze maken ook gebruik van:
- gestolen gebruikersaccounts;
- legitieme software;
- PowerShell en scripts;
- remote management tools;
- browserextensies;
- cloudkoppelingen;
- bekende applicaties die worden misbruikt;
- phishingmails die inspelen op echte gebeurtenissen.
Een antivirusoplossing probeert vooral te herkennen wat kwaadaardig is. Maar wat als de aanval via een legitieme applicatie loopt? Of via een medewerker die per ongeluk toestemming geeft? Of via een bestand dat nog niet bekendstaat als malware?
Dan heb je extra controle nodig.
Niet alleen: “Is dit bestand kwaadaardig?”
Maar ook: “Hoort deze actie wel te gebeuren?”
De Canvas-hack als voorbeeld van ketenrisico
De Canvas-hack laat goed zien hoe ketenrisico werkt. Je eigen organisatie kan de basis op orde hebben, maar alsnog geraakt worden door een incident bij een leverancier.
Dat betekent dat cybersecurity niet stopt bij je eigen firewall, werkplekken of Microsoft 365-omgeving. Je moet ook rekening houden met wat er gebeurt ná een incident buiten je eigen organisatie.
Stel dat gegevens uit een extern platform worden misbruikt voor phishing. Dan wil je dat:
- medewerkers verdachte mails herkennen;
- accounts beschermd zijn met MFA;
- apparaten beheerd en gepatcht zijn;
- onbekende software niet zomaar kan draaien;
- gebruikers geen onnodige beheerrechten hebben;
- data niet zomaar door iedere applicatie benaderd kan worden;
- afwijkend gedrag snel wordt gesignaleerd.
Dit is precies waar Zero Trust waarde toevoegt.
Het voorkomt niet ieder incident bij iedere leverancier. Maar het verkleint wel de kans dat zo’n extern incident leidt tot schade in je eigen omgeving.
Zero Trust in de praktijk
Zero Trust klinkt soms groot en ingewikkeld. Alsof je direct een compleet securityprogramma moet optuigen. In de praktijk begint het juist met logische stappen.
- Zorg voor sterke identiteit
Begin bij gebruikersaccounts. MFA is hierbij essentieel. Niet alleen voor beheerders, maar voor alle gebruikers. Een wachtwoord alleen is niet meer voldoende.
Maar MFA is pas het begin. Kijk ook naar voorwaardelijke toegang: mag iemand inloggen vanaf een onbekende locatie, op een onbeheerd apparaat of buiten normale werktijden?
- Beheer apparaten actief
Een apparaat dat toegang heeft tot bedrijfsdata moet veilig zijn. Dat betekent: updates op orde, endpoint security actief, schijfversleuteling ingeschakeld en beheer via een centrale oplossing.
Actabyte biedt binnen haar dienstverlening onder andere remote en patch management, MFA, endpoint security, wachtwoordbeheer, security awareness en ransomwaredetectie en -preventie. Daarmee worden belangrijke Zero Trust-bouwstenen praktisch beheerd.
- Geef niet te veel rechten
Veel organisaties geven gebruikers te ruime rechten “omdat dat handig is”. Maar hoe meer rechten een gebruiker heeft, hoe groter de schade als dat account wordt misbruikt.
Zero Trust werkt volgens het principe van minimale rechten: iemand krijgt toegang tot wat nodig is, niet tot alles wat mogelijk is.
- Controleer applicaties
Niet iedere applicatie hoort zomaar te draaien. En zelfs goedgekeurde applicaties moeten niet onbeperkt alles kunnen.
Een tekstverwerker hoeft bijvoorbeeld niet zomaar scripts te starten. Een browser hoeft niet overal bij te kunnen. Een onbekend installatiebestand hoort niet zonder controle uitgevoerd te worden.
Dit is een belangrijk punt dat vaak wordt vergeten. Veel organisaties controleren gebruikers en apparaten, maar niet altijd wat applicaties vervolgens mogen doen.
- Monitor en stuur continu bij
Zero Trust is geen eenmalig project. Je omgeving verandert continu. Nieuwe medewerkers, nieuwe applicaties, nieuwe leveranciers, nieuwe apparaten en nieuwe dreigingen vragen om doorlopend beheer.
Daarom hoort monitoring erbij. Niet alleen om achteraf te zien wat er misging, maar juist om afwijkingen vroeg te signaleren.
Binnen de Actabyte-dienstverlening zijn onder andere 24×7 managed SOC, proactieve beveiliging, automatische policy drift-detectie en NIS2-compliancyrapportage beschikbaar als onderdelen van de bredere security-aanpak.
Waarom Zero Trust belangrijk is voor onderwijs, zorg, mkb en non-profit
Voor onderwijsinstellingen is dit actueel door incidenten zoals Canvas, maar dezelfde uitdaging speelt in bijna iedere sector.
In het mkb ontbreekt vaak een grote interne IT-afdeling. Daardoor zijn organisaties afhankelijk van externe ondersteuning en is het extra belangrijk dat security standaard goed is ingericht. Actabyte richt zich juist op organisaties in onder andere mkb, zorg, onderwijs en non-profit, met complete IT-oplossingen zodat klanten zich kunnen richten op hun kernactiviteiten.
In de zorg gaat het om continuïteit en gevoelige gegevens. Een storing of aanval heeft daar direct impact op processen, patiënten of cliënten.
In het onderwijs gaat het om veel gebruikers, veel apparaten en vaak beperkte IT-capaciteit.
In non-profitorganisaties zijn budgetten vaak beperkt, terwijl de impact van een datalek groot kan zijn voor vertrouwen en reputatie.
Zero Trust helpt in al deze situaties omdat het uitgaat van controle, beperking en zichtbaarheid.
Niet alles blokkeren.
Niet alles openzetten.
Maar precies genoeg toegang geven om veilig te kunnen werken.
Waar ThreatLocker in dit verhaal past
Zero Trust is het uitgangspunt. ThreatLocker is één van de middelen waarmee je een belangrijk deel daarvan praktisch kunt invullen.
Vooral op het gebied van applicatiecontrole en het beperken van ongewenst gedrag is ThreatLocker sterk.
Waar traditionele beveiliging vaak probeert te herkennen wat fout is, draait deze aanpak het om: alleen goedgekeurde applicaties en acties worden toegestaan.
Dat helpt bij vragen zoals:
- Welke software mag draaien?
- Welke applicaties mogen bij welke bestanden?
- Mag een applicatie scripts starten?
- Mag een gebruiker zelf software installeren?
- Wat gebeurt er als iemand een onbekend bestand opent?
- Hoe voorkomen we dat ransomware überhaupt kan starten?
Met ThreatLocker kunnen we binnen een Zero Trust-aanpak dus extra controle toevoegen op werkplekken en servers. Niet als vervanging van MFA, patching, endpoint security, awareness of monitoring, maar als extra beveiligingslaag.
Hoe Actabyte dit oplost
Bij Actabyte zien we Zero Trust niet als los project of ingewikkelde securityterm. We vertalen het naar praktische maatregelen die passen bij jouw organisatie.
Dat begint met inzicht:
- Welke gebruikers zijn er?
- Welke apparaten worden gebruikt?
- Welke applicaties zijn echt nodig?
- Welke rechten staan te ruim?
- Welke risico’s zitten in de huidige inrichting?
- Welke maatregelen leveren de meeste winst op?
Daarna bouwen we stap voor stap aan een veiligere omgeving. Denk aan MFA, patch management, endpoint security, wachtwoordbeheer, back-up, phishingbescherming, security awareness, monitoring en waar passend ThreatLocker voor extra applicatiecontrole.
Zo zorgen we dat cybersecurity niet alleen technisch goed staat, maar ook werkbaar blijft voor gebruikers.
Want beveiliging die mensen frustreert, wordt uiteindelijk omzeild.
Goede beveiliging helpt mensen veilig werken zonder dat ze er dagelijks last van hebben.
Conclusie: Zero Trust is geen hype, maar gezond verstand
De Canvas-hack laat zien dat organisaties verder moeten kijken dan de klassieke beveiligingsmaatregelen. Antivirus, firewall en MFA zijn belangrijk, maar niet genoeg in een wereld waarin data, gebruikers en applicaties overal verspreid zijn.
Zero Trust helpt om grip terug te krijgen.
Niet door alles moeilijker te maken, maar door duidelijke vragen te stellen:
Wie vraagt toegang?
Vanaf welk apparaat?
Tot welke data?
Via welke applicatie?
Met welke rechten?
En hoort deze actie wel?
Als je die vragen goed kunt beantwoorden, sta je veel sterker. Ook wanneer er buiten je eigen organisatie iets misgaat.
Wil je weten hoe Zero Trust er voor jouw organisatie uitziet? Actabyte helpt je om de huidige situatie in kaart te brengen en stap voor stap de juiste maatregelen te nemen. Duidelijk, praktisch en zonder onnodig jargon.
