Wouter Hoeffnagel - 02 september 2023

Onderwijssector is het vaakst doelwit van ransomware

De onderwijssector is in 2022 het vaakst getroffen door ransomware-aanvallen. In het afgelopen jaar meldde 79% van de organisaties in het hoger onderwijs en 80% van de organisaties in het lager onderwijs getroffen te zijn door ransomware - een stijging ten opzichte van respectievelijk 64% en 56% in 2021. Ook blijkt dat onderwijsinstellingen relatief vaak het geëiste losgeld betalen.

Onderwijssector is het vaakst doelwit van ransomware image

Dit blijkt uit het onderzoekrapport 'The State of Ransomware in Education 2023' van Sophos, een wereldwijde speler in cybersecurity-as-a-service. In het afgelopen jaar meldde 79% van de ondervraagde organisaties in het hoger onderwijs en 80% van de organisaties in het lager onderwijs getroffen te zijn door ransomware. Dit is een stijging ten opzichte van respectievelijk 64% en 56% in 2021.

Ongeveer de helft betaalt losgeld

Daarnaast rapporteerde de sector een van de hoogste betalingspercentages voor losgeld: meer dan de helft (56%) van de organisaties in het hoger onderwijs en bijna de helft (47%) van de organisaties in het lager onderwijs betaalde het losgeld. Het betalen van het losgeld verhoogde de herstelkosten aanzienlijk voor zowel de organisaties in het hoger als lager onderwijs.

De herstelkosten (exclusief betaald losgeld) voor organisaties in het hoger onderwijs die losgeld betaalden, bedroegen 1,2 miljoen euro bij het betalen van losgeld versus 900.000 euro bij het gebruik van back-ups. Voor organisaties uit het lager onderwijs bedroegen de gemiddelde herstelkosten 2 miljoen euro bij het betalen van losgeld versus 1,26 miljoen euro bij het niet betalen.

Losgeld betalen leidt tot langere hersteltijd

Het betalen van losgeld verlengde ook de hersteltijd voor slachtoffers. Voor organisaties in het hoger onderwijs herstelde 79% van degenen die back-ups gebruikten binnen een maand, terwijl 63% van degenen die het losgeld betaalden binnen hetzelfde tijdsbestek herstelden. Bij organisaties in het lager onderwijs herstelde 63% van degenen die back-ups gebruikten binnen een maand, tegenover 59% van degenen die losgeld betaalden.

"Ondanks dat de meeste scholen weinig contant geld hebben, zijn het zeer zichtbare doelen met een onmiddellijke grootschalige impact op hun gemeenschappen. De druk om de deuren open te houden en te reageren op oproepen van ouders om 'iets te doen' leidt waarschijnlijk tot druk om het probleem zo snel mogelijk op te lossen zonder rekening te houden met de kosten. Helaas bevestigen de resultaten niet dat aanvallen sneller worden opgelost als er losgeld wordt betaald, maar het is waarschijnlijk wel een factor in de selectie van slachtoffers voor de criminelen", aldus Chester Wisniewski, Field CTO, Sophos.

De hoofdoorzaken van ransomware-aanvallen in de onderwijssector waren vergelijkbaar met die van alle sectoren. Wel kampt de sector met een aanzienlijk groter aantal ransomware-aanvallen waarbij vertrouwde gegevens in gevaar kwamen. Voor zowel organisaties in het hoger onderwijs ligt dit percentage op 37% en voor het lager onderwijs op 36%. Het sectorgemiddelde bedraagt 29%.

Andere resultaten

Andere bevindingen uit het rapport zijn:

  • Exploits en aangetaste referenties zijn verantwoordelijk voor meer dan driekwart (77%) van de ransomware-aanvallen op organisaties in het hoger onderwijs; deze hoofdoorzaken zijn verantwoordelijk voor meer dan tweederde (65%) van de aanvallen op organisaties in het lager onderwijs.
  • Het coderingspercentage bleef ongeveer gelijk voor organisaties in het hoger onderwijs (74% in 2021 versus 73% in 2022), maar steeg het afgelopen jaar van 72% naar 81% voor organisaties in het lager onderwijs.
  • Organisaties in het hoger onderwijs maken minder gebruik van back-ups dan het sectorgemiddelde (63% versus 70%). Dit is het op twee na laagste percentage van het gebruik van back-ups in alle sectoren. Organisaties in het lager onderwijs maakten daarentegen iets vaker gebruik van back-ups dan het wereldwijde gemiddelde (73%).

"Misbruik van gestolen referenties door ransomware-criminelen is in alle sectoren gebruikelijk, maar het gebrek aan adoptie van multifactor authenticatie (MFA)-technologie in de onderwijssector maakt dat zij nog meer risico lopen om getroffen te worden door deze compromitteringsmethode. Er zijn meer overheidsinitiatieven en wetgevingen om het onderwijs te dwingen MFA te gebruiken, waarvan de Amerikaanse wetgeving de grootste impact heeft. Daarom is het tijd voor scholen van alle groottes om MFA te gebruiken voor faculteit, personeel en studenten. Het geeft het goede voorbeeld en is een eenvoudige manier om te voorkomen dat veel van deze aanvallen binnenkomen", aldus Wisniewski.

Best practices

Sophos raadt de volgende best practices aan om te helpen bij de verdediging tegen ransomware en andere cyberaanvallen:

  • Beveiligingstools die bescherming bieden tegen de meest voorkomende aanvalsvectoren, waaronder endpointbescherming met sterke anti-exploit mogelijkheden om misbruik van kwetsbaarheden te voorkomen en Zero Trust Network Access (ZTNA) om misbruik van aangetaste referenties tegen te gaan.
  • Adaptieve technologieën die automatisch reageren op aanvallen, waardoor tegenstanders worden verstoord en verdedigers tijd krijgen om te reageren.
  • 24/7 detectie van dreigingen, onderzoek en respons - intern of door een gespecialiseerde MDR-aanbieder (Managed Detection and Response).
  • Optimaliseer de voorbereiding op aanvallen, waaronder het regelmatig maken van back-ups, het oefenen met het herstellen van gegevens van back-ups en het bijhouden van een actueel incidentbestrijdingsplan.
  • Zorg voor een goede beveiligingshygiëne, waaronder tijdige patching en regelmatige herziening van configuraties van beveiligingstools.

Voor het onderzoek zijn 3.000 IT/cybersecurity leiders ondervraagd in organisaties met tussen de 100 en 5.000 werknemers, waaronder 400 uit de onderwijssector, verspreid over 14 landen in Noord- en Zuid-Amerika, EMEA en Azië-Pacific. Hieronder bevinden zich 200 uit het lager onderwijs (tot 18 jaar) en 200 uit het hoger onderwijs (boven 18 jaar) en zowel aanbieders van openbaar als particulier onderwijs. Meer informatie is beschikbaar in het volledige rapport van Sophos.

Axians 11-06-2024 tm 18-06-2024 BW V6 Darktrace BW 28-05 tm 18-06-2024
Axians 11-06-2024 tm 18-06-2024 BN V5

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!