Ransomware aanvallen op onderwijsinstellingen nemen toe

Sophos, speler in next-generation cybersecurity, heeft een nieuw sectoraal onderzoeksrapport gepubliceerd: The State of Ransomware in Education 2022. Uit dit rapport blijkt dat onderwijsinstellingen – zowel in het hoger als lager onderwijs – steeds vaker getroffen worden door ransomware: in 2021 werd 60% aangevallen, in vergelijking met 44% in 2020. Gegevens van onderwijsinstellingen werden het vaakst (73%) versleuteld in vergelijking met die van andere sectoren (65%). Bovendien duurt het herstel bij onderwijsinstellingen het langst: 7% heeft minstens drie maanden nodig – dat is bijna het dubbele van de gemiddelde tijd in andere sectoren (4%).

Enkele andere bevindingen:

In vergelijking met andere sectoren ondervinden onderwijsinstellingen het vaakst operationele en commerciële gevolgen van ransomware-aanvallen. 97% van de respondenten uit het hoger onderwijs en 94% uit het lager onderwijs zegt dat de aanvallen het functioneren verstoorden, terwijl 96% van de respondenten uit het hoger onderwijs en 92% uit het lager onderwijs in de privésector daarbovenop ook bedrijfsschade en omzetverlies hebben gemeld.

Slechts 2% van de onderwijsinstellingen kreeg in ruil voor losgeld al zijn versleutelde gegevens terug (tegenover 4% in 2020); scholen kregen gemiddeld 62% van de versleutelde gegevens terug nadat ze losgeld betaald hadden (tegenover 68% in 2020).

Instellingen voor hoger onderwijs hebben volgens het onderzoek de meeste tijd nodig om te herstellen na een ransomware-aanval: 40% heeft minstens een maand nodig (tegenover 20% van de andere sectoren), terwijl 9% drie tot zes maanden nodig heeft.

“Scholen worden doorgaans het zwaarst getroffen door ransomware. Het zijn uitstekende doelwitten voor aanvallers omdat ze onvoldoende beschermd zijn tegen cyberaanvallen, en omdat ze beschikken over een goudmijn aan persoonsgegevens”, aldus Chester Wisniewski, Principal Research Scientist bij Sophos. “Onderwijsinstellingen merken minder vaak dan andere organisaties dat er een aanval aan de gang is, met het logische gevolg dat aanvallen vaker succesvol zijn en er meer gegevens versleuteld worden. Omdat de versleutelde gegevens meestal bestaan uit vertrouwelijke studentendossiers, is de impact veel groter dan in de meeste andere sectoren. Zelfs als de aanvallers de gegevens gedeeltelijk teruggeven, is het niet zeker welke gegevens dat precies zijn. En dan nog is het kwaad al geschied: de getroffen scholen krijgen te maken met zware herstelkosten en gaan soms zelfs failliet. Helaas zullen de aanvallen niet ophouden. De enige manier om de criminelen een stap voor te blijven, is door een stevige verdediging tegen ransomware op te bouwen, die aanvallen identificeert en afweert voordat versleuteling mogelijk is.”

Wat opvalt is dat onderwijsinstellingen het vaakst een schadevergoeding van hun cyberverzekering krijgen voor ransomware-aanvallen (100% in het hoger onderwijs, 99% in het lager onderwijs). Over het algemeen kent deze sector echter een van de laagste percentages van cyberverzekeringen tegen ransomware (78%, in vergelijking met 83% in andere sectoren).

“Vier van de tien scholen zeggen dat minder verzekeraars bereid zijn om hen een dekking aan te bieden, terwijl bijna de helft (49%) aangeeft dat het nodige beveiligingsniveau om voor een dekking in aanmerking te komen gestegen is”, vertelt Wisniewski. “Aanbieders van cyberverzekeringen worden kieskeuriger wat klanten betreft, en onderwijsinstellingen hebben hulp nodig om te voldoen aan die hogere eisen. Omdat hun budget beperkt is, zouden scholen moeten samenwerken met vertrouwde veiligheidsprofessionals om ervoor te zorgen dat hun middelen naar oplossingen gaan die de best mogelijke beveiliging bieden en voldoen aan de eisen van verzekeraars.”

In het kader van de onderzoeksresultaten raden de Nederlandse Sophos-experts aan alle organisaties in alle sectoren de volgende best practices aan:

Installeer en onderhoud kwalitatieve verdedigingsmiddelen op alle punten in de IT-omgeving. Evalueer beveiligingscontroles regelmatig en zorg ervoor dat ze blijven voldoen aan de behoeften van de organisatie.

Spoor proactief dreigingen op, zodat vijanden geïdentificeerd en tegengehouden worden voordat ze kunnen aanvallen. Als het team onvoldoende tijd of vaardigheden heeft om dat intern te doen, kan deze taak aan een MDR-team uitbesteed worden (MDR staat voor 'managed detection and response’, oftewel ‘beheerde detectie en respons’).

Versterk de IT-omgeving door gaten in de beveiliging op te sporen en te dichten, zoals niet-gepatchte apparaten, onbeschermde machines en openstaande RDP-poorten. XDR-oplossingen zijn daar ideaal voor (XDR staat voor ‘extended detection and response’, oftewel 'uitgebreide detectie en respons’).

Wees op het ergste voorbereid en houd een up-to-date plan klaar voor het worstcasescenario.

Maak back-ups en oefen hoe u ze kunt gebruiken om gegevens te herstellen, zodat de verstoring en hersteltijd tot een minimum beperkt blijven.

De enquête ‘The State of Ransomware in Education 2022’ bevroeg 5.600 IT-professionals in middelgrote organisaties (100 tot 5.000 werknemers) in 31 landen. 320 respondenten daarvan werkten in het lager onderwijs, 410 in het hoger onderwijs.