Moeten we ons verwachten aan een toekomst waar elke universiteit of andere instelling in een handomdraai gehackt kan worden?
Twee weken geleden lag het hoger onderwijs in de Verenigde Staten, Nederland en delen van België stil. Het digitaal leerplatform Canvas was afgesloten door een cyberhack. In ongeveer 40% van de Amerikaanse universiteiten, de meerderheid van het Nederlandse hoger onderwijs en in België onder meer de VUB, konden studenten en docenten niet meer aan cursusmateriaal, punten, opdrachten, enzovoort. ShinyHunters, een hackerscollectief achter aanvallen op bijvoorbeeld Microsoft, de Europese Commissie en Pornhub, had 3,65 terabyte aan informatie gestolen van meer dan 275 miljoen gebruikers. Ze hadden namen, e-mailadressen, cijfers en privéberichten van studenten en docenten ontvreemd in ruil voor losgeld. Na een week chaos bereikte de eigenaars van Canvas een 'akkoord' met de hackers. Waarschijnlijk hebben ze een aardige som betaald om te vermijden dat de privégegevens van miljoenen mensen online zouden komen te staan, maar Instructure - het Amerikaanse bedrijf achter Canvas - weigert details te geven.
Ondertussen is alles weer bij het oude. Lessen en tentamens gaan weer gewoon door. Crisis doorstaan, geen lessen geleerd. Dat is een slecht idee met nog meer hackingrisico's in het verschiet. Een paar maand geleden kondigde AI-bedrijf Anthropic aan dat hun nieuwe Claude Mythos zo snel beveiligingssystemen hackt dat ze de GenAI niet durven open te stellen aan het brede publiek. Voortaan kan iedereen met toegang tot deze software met een paar gerichte prompts de datasystemen van grote bedrijven binnendringen. De toekomst is gehackt. Anthropic koos om Claude Mythos voorlopig enkel toegankelijk te maken voor een handvol Amerikaanse bedrijven, zoals Google en Microsoft, en de Europese Unie de toegang te ontzeggen. De rest van ons blijft in de kou staan.
Moeten we ons verwachten aan een toekomst waar elke universiteit of andere instelling in een handomdraai gehackt kan worden?
Eerste les: digitale soevereiniteit
Hoe moeten wij dan ransomware-aanvallen voor de toekomst vermijden? Als eerste les mogen we niet ons volledige hoger onderwijs laten afhangen van één Amerikaans bedrijf. Digitale soevereiniteit wordt een sleutelwoord voor toekomstig Europees beleid.
In 1972 al gaf de Chileense president Salvador Allende een speech bij de Verenigde Naties waar hij het Amerikaans technokolonialisme aan de kaak stelde. Toen de socialist verkozen werd, kon de Verenigde Staten weinig rechtstreeks ondernemen tegen Allende, maar via connecties met Amerikaanse bedrijven werd de internationale handel met Chili haast volledig stopgezet. Bedrijven als ITT en IBM weigerden technologische producten naar Chili te exporteren. Het land besefte plots hoe afhankelijk het was van de Amerikaanse techsector. Ze mochten dan wel juridisch onafhankelijk zijn, zonder de instemming van Amerikaanse bedrijven was het land onbestuurbaar. Imperialisme in een jasje van elektrocircuits en microprocessors.
We mogen ons volledige hoger onderwijs niet laten afhangen van één Amerikaans bedrijf
Vanuit Amerikaans oogpunt is digitale technologie het wapen bij uitstek voor technokoloniale dominantie. Door overheidssteun, belastingsubsidies, militaire contracten en private investeerders moeten Amerikaanse technologiebedrijven zich immers niet bekommeren om winstcijfers. Zij kunnen hun producten aan artificieel lage prijzen aanbieden en jarenlang verliezen boeken zonder financiële druk. Deze bedrijven kunnen hun technologieën wereldwijd agressief promoten om zich zo te nestelen in het dagelijkse leven van de wereldbevolking. Eenmaal ze onderdeel zijn geworden van de maatschappelijke infrastructuur kunnen wij niet meer aan hen ontsnappen. Om het einde van de week te halen, kan de gemiddelde Belg haast niet anders dan gebruikmaken van Amerikaanse bankensoftware, Amerikaanse internetkabels, Amerikaanse zoekmachines, Amerikaanse GPS, Amerikaanse GenAI. Het basisweefsel van de Belgische samenleving is van Amerikaanse makelij.
Als individueel land kan je bijzonder weinig ondernemen tegen zoveel infrastructureel overwicht. In hetzelfde jaar als Allende's speech publiceerde Huey P. Newton, oprichter van de Black Panther Party, een kort tekstje met de titel 'The Technology Question'. Hij maakte dezelfde vaststelling als Allende: het Globale Zuiden heeft zichzelf gedekoloniseerd, maar dat maakte hen niet minder afhankelijk van de VS. Integendeel, hoewel voormalige kolonies nu officieel onafhankelijk waren, werd de natiestaat zelf steeds minder belangrijk op het internationale politieke toneel. De Derde Wereld had een kat in een zak gekocht met hun onafhankelijkheidsverklaringen. Ondertussen draaide de wereldorde op internationale netwerken van handel en technologische uitwisselingen. Newton waarschuwde voor een toekomst van 'reactionair intercommunalisme'. Staten en nationale overheden zouden versmelten in een wereldwijd netwerk onder controle van een handvol grote bedrijven in de VS. Terwijl overheden de controle verliezen over hun economie, beslissen een paar CEO's in de VS over het lot van de wereld met hun investeringsportfolio's.
De Canvashack toont hoe die les voor het Globale Zuiden ondertussen noordwaarts is gereisd. Als de Europese Unie de Oekraïners in hun oorlog tegen Rusland wil steunen, moeten ze rekenen op Elon Musks Starlinksatellieten en Amerikaanse drones. Als diezelfde Musk zin heeft om zich in bijvoorbeeld de Duitse verkiezingen te mengen, kan hij dat gewoon doen. En als het Amerikaanse Canvas gehackt wordt, ligt het hoger onderwijs in België en Nederland stil. Hele maatschappelijke sectoren in Europa zijn afhankelijk van de goodwill van Amerikaanse bedrijven en overheidsregulering lijkt daar bijzonder weinig vat op te hebben.
Als Instructure beslist om de data van studenten aan adverteerders te verkopen, kunnen wij daar weinig aan doen
Als Instructure beslist om de lesopnames van docenten te gebruiken om AI-gegenereerde lessen te maken, gaan we hen waarschijnlijk niet kunnen tegenhouden. Als Instructure beslist om de data van studenten aan adverteerders te verkopen, kunnen wij daar weinig aan doen. De VUB kan met de ene hand een eredoctoraat aan Francesca Albanese geven, maar moet met de andere hand contracten tekenen over Canvas, terwijl Instructure eigendom is van KKR, een bedrijf dat zwaar investeert in de Israëlische genocidemachine.
Tweede les: technodiversiteit
De eerste les van de Canvashack is dat we onafhankelijker moeten worden van Amerikaans technokolonialisme. Digitale soevereiniteit begint bij controle over je eigen maatschappelijke infrastructuur. Het is daarom goed op te merken dat bijvoorbeeld KU Leuven gebruik maakt van een eigen leerplatform Toledo. Maar kunnen we niet verdergaan? Er valt immers meer te leren uit het Canvasvoorval. Individuele universiteiten zijn ook al herhaaldelijk slachtoffer geweest van cyberaanvallen. Dezelfde ShinyHunters-leden achter de Canvasaanval hebben eerder al geoefend op verschillende individuele Amerikaanse universiteitsnetwerken. En Claude Mythos belooft dat haast elke student binnenkort de software van hun alma mater zal kunnen ontmantelen. We mogen niet vergeten dat digitalisering en technologische innovatie nooit een ondubbelzinnig goed zijn. Je verkrijgt inderdaad een paar voordelen, maar je moet die afwegen tegen de nieuwe risico's waaraan je jezelf blootstelt. De uitvinder van het vliegtuig was meteen ook de uitvinder van de vliegtuigcrash.
Begin 20ste eeuw bereikte de industrialisering de landbouw in de Amerikaanse Midwest. Hyperproductieve gewassen en mechanische tractoren maakten massaproductie op het platteland mogelijk. De schaalvoordelen waren immens, maar de grond verschraalde door monocultuur en tractorgeweld. De vooruitgang van de industriële landbouw draaide uit op een van de ergste hongersnoden in het Globale Noorden. Duizenden boeren moesten hun land verlaten of sterven van de honger. Waarom dit voorbeeld? De tweede les uit de Canvashack is namelijk dat blind vertrouwen in één technologische fix onvermijdelijk tot onze ondergang leidt. Een maatschappij die volledig berust op één technologie stuikt onmiddellijk in elkaar wanneer die technologie het laat afweten. Net zoals de natuur nood heeft aan een divers ecosysteem om te overleven, heeft de maatschappij behoefte aan diverse technosystemen om bijvoorbeeld onderwijs draaiende te houden. Technologische monocultuur is een eenduidig recept voor verschraling en rampscenario's.
Technologische monocultuur is een eenduidig recept voor verschraling en rampscenario's
In de landbouw hebben we die lessen met vallen en opstaan geleerd. Elke landbouwer kan je vertellen hoe monocultuur leidt tot verarming van de grond. Als we allemaal dezelfde gewassen massaal telen en dezelfde pesticiden gebruiken, stellen we onszelf bloot aan enorme gevaren wanneer één minuscule bacterie resistentie ontwikkelt tegen die pesticiden. Dan gaan plots alle gewassen dood en staat de hongersnood voor de deur. In het hoger onderwijs komt die les echter moeilijk binnen. Alle geld gaat naar dezelfde technologische infrastructuur: multinationale leerplatformen waarop universiteiten alles samenhokken van communicatie tussen studenten en docenten tot opdrachten en tentamens, lesopnames en cursusmateriaal, eindresultaten en masterthesissen. Vitale onderdelen van de leerinfrastructuur van het hoger onderwijs zijn verzameld op één online platform dat bij de kleinste cyberaanval in elkaar stuikt. Technologische monocultuur maakt ons kwetsbaar voor het minste virus of hackerscollectief dat door de firewall breekt.
Net zoals we nood hebben aan meer biodiversiteit in de landbouw, hebben we nood aan meer technodiversiteit in ons onderwijssysteem. Wat we winnen aan efficiëntie door alles op één platform te zetten, verliezen we door kwetsbaarheid voor systeemfalen. We zijn niet enkel afhankelijk van de arbitraire wil van de Amerikaanse eigenaars van deze platformen, maar zelfs al hebben die eigenaars enkel goede bedoelingen, dan nog kan het onderwijs imploderen door een eenvoudige ransomware-aanval. Door het onderwijs op meerdere technologische infrastructuren tegelijk te bouwen, maken we onszelf minder kwetsbaar voor mislukkingen in één bepaalde component. Het is bijvoorbeeld verstandig om communicatie via een online platform te organiseren of punten te publiceren via Canvas, maar moeten ook cursusteksten en tentamens op datzelfde platform staan? Is het niet veiliger om bepaalde zaken op pen en papier te zetten? Gegarandeerd 'onhackbaar'.
Misschien wordt het tijd om bepaalde gegevens niet online maar op papier op te slaan
Door ons vertrouwen te plaatsen in diverse technologische ecosystemen, worden we weerbaarder voor tegenslag. Het leerplatform ligt een paar dagen stil, maar iedereen heeft nog een cursus en tentamens. Technodiversiteit is het antwoord op een toekomst die steeds meer gevaren op cyberaanvallen belooft. Als Claude Mythos - dat cybermisdaad even makkelijk belooft te maken als winkeldiefstal - de toekomst hackt, moeten wij ons leren weren voor een toekomst waar geen enkele online database veilig is. Misschien wordt het dan tijd om bepaalde gegevens niet online maar op papier op te slaan. Willen we ons eigen lot in handen houden, mogen we niet blind vertrouwen op de producten van Amerikaanse techbedrijven.