Ajankohtaista
Kuva: Philipp Katzenberger/Unsplash
Kuva: Philipp Katzenberger/Unsplash
Canvas-oppimisympäristöön on kohdistunut suuri maailmanlaajuinen tietovuoto. Oppimisympäristöllä on miljoonia käyttäjiä ympäri maailman. Kansanvalistusseurassa Canvas-oppimisympäristöä käytetään Etäkoulu Kulkurin / Distansskolan Nomadin sekä Etelä-Helsingin kansalaisopiston kursseilla, hankkeissa sekä Verkkoeskari-kurssilla.
Canvas-oppimisympäristöä ylläpitää Instructure-niminen yritys.
29.4.2026 Instructure havaitsi tietovuodon ja käynnisti asian tutkinnan. Saimme tiedon mahdollisesta tietovuodosta 8.5.2026, jolloin teimme myös ilmoituksen tietosuojavaltuutetun toimistolle ja ilmoitimme nykyisille Canvas-oppimisympäristömme käyttäjille asiasta.
12.5.2026 Instructure ilmoitti tehneensä tietovuodon takana olleen hyökkääjän kanssa sopimuksen ja tilanteen päättyneen. Instructure kertoi myös saaneensa vakuuden siitä, etteivät vuodossa osana olleet tiedot ole enää hyökkääjän hallussa.
13.5.2026 Tietosuojavaltuutetun toimisto vahvisti vastaanottaneensa ilmoituksemme ja kertoi, että olemme noudattaneet viranomaisohjeistuksia, kun olemme ilmoittaneet tapahtuneesta niille osapuolille, joiden tietoja tapaus koskee.
21.5.2026 Instructure toimitti meille ne tiedot, joihin hyökkääjä oli saanut organisaatiossamme pääsyn. Tässä vaiheessa emme vielä saaneet tarkkaa tietoa siitä, koskivatko nämä kentät ainoastaan aktiivisia Canvas-käyttäjiä vai myös aiempien vuosien käyttäjiä.
Saamamme tiedon mukaan seuraavat tiedot olivat mukana tietovuodossa, mutta eivät ole enää hyökkääjän hallussa:
- käyttäjien perustiedot ja tunnisteet:
- käyttäjätunnus
- etu- ja sukunimi
- sähköposti
- Canvasin sisäiset tunnisteet: hallinnointiin käytettäviä numerosarjoja, jotka erottavat käyttäjät toisistaan
- kurssien nimet
- käyttäjien ja kurssien väliset suhteet:
- kuka on milläkin kurssilla
- rooli ja roolin tunniste: onko käyttäjä kurssilla opiskelijan, huoltajan vai opettajan roolissa
- lisäksi “observer”-tyyppisiin kirjauksiin liittyvät associated_user‑kentät: Etäkoulu Kulkurissa tätä kenttää käytetään vain, jos käyttäjä on kurssilla huoltajan roolissa. Opettaja- ja opiskelija-rooleissa kenttä ei ole käytössä. Kenttä kertoo huoltaja-roolissa olevan käyttäjän ohjattavan oppilaan ID:n eli Canvasin sisäisen numerosarjan, joka erottaa oppilaat toisistaan.
Varsinainen Canvas-kurssien sisältö ei ollut mukana tietovuodossa, eli seuraavat tiedot eivät olleet osana vuotoa:
- salasanat
- Canvasin viestit
- arvosanat
- kurssisisällöt
- tehtävänpalautukset
- keskustelualueiden viestit
- tiedot, joita ei ole koskaan viety Canvas-oppimisympäristöön: esimerkiksi kotiosoitteet, puhelinnumerot, syntymäajat, maksutiedot
29.5.2026 saimme Canvas-oppimisympäristöstä ladattua raportin, joka ymmärryksemme mukaan sisälsi kaikki osana tietovuotoa olleet tiedot. Raportista selvisi, että tietovuoto oli koskettanut myös aiempien vuosien käyttäjiä, joiden tili ei ole enää aktiivinen Canvasissa. Ryhdyimme selvittämään näiden aiempien käyttäjien sähköpostiosoitteita, jotta saimme tiedotettua asiasta myös heille. 3.6.2026 ja 4.6.2026 lähetimme tiedotteen myös aiemmille käyttäjille.
Instructure kertoo tehostaneensa tietoturvaa ja lisänneensä monitorointia. Myös Kansanvalistusseurassa on tehty tietoturvaa tehostavia toimenpiteitä tapauksen myötä. Kansanvalistusseurassa oli jo ennen tietovuotoa käytössä ne tietoturvaa lisäävät toimenpiteet, joita Instructure suositti tässä tilanteessa.
Kansanvalistusseuran tietoturvaryhmä on kokoontunut säännöllisesti ja seurannut tilannetta tehostetusti ja jatkaa yhä tilanteen seuraamista. Canvasin käyttöä voi jatkaa normaalisti.
Lisätietoja
Markus Kitola Teknologia-asiantuntija | Specialist inom utbildningsteknologi | EduTech Specialist
+358 50 325 5844
markus.kitola@kvs.fi
