Sophos-rapport: onderwijssector is beter gewapend tegen ransomware, maar IT-teams betalen menselijke prijs

Sophos heeft zijn vijfde jaar­lijkse State of Ransom­ware in Education-rapport gepu­bli­ceerd over de stand van zaken rond ransom­ware in de onder­wijs­sector. In die wereld­wijde studie werden 441 IT- en cyber­se­cu­ri­ty­spe­ci­a­listen bevraagd en daaruit blijkt dat de onder­wijs­sector grote voor­uit­gang aan het boeken is in de strijd tegen ransom­ware. Er worden minder losgeld­be­ta­lingen gedaan, de kosten zijn drastisch vermin­derd en de herstel­tijd is gestegen. Maar die positieve zaken gaan helaas gepaard met hogere werkdruk voor de IT-teams: meer stress, burn-outs en carrière-onder­bre­kingen als gevolg van aanvallen. Bovendien geeft 40% van de respon­denten aan dat ze kampen met angststoornissen.

De voorbije vijf jaar is ransom­ware een van de grootste drei­gingen voor de onder­wijs­sector geworden. Aanvallen komen nu dagelijks voor. Zowel het middel­baar als het hoger onderwijs worden door cyber­cri­mi­nelen beschouwd als makke­lijke doel­witten omdat ze vaak niet goed gefi­nan­cierd en onder­be­mand zijn en omdat er bijzonder gevoelige gegevens te rapen zijn. De gevolgen zijn verstrek­kend: lessen kunnen niet doorgaan, er komt druk op de budgetten en er is meer bezorgd­heid rond de privacy van leer­lingen en personeel. Als scholen zich niet beter verde­digen, lopen ze niet alleen het risico om belang­rijke hulp­bronnen te verliezen, maar ook het vertrouwen van iedereen die bij school betrokken is.

Indicatoren van succes in de strijd tegen ransomware

De nieuwe studie van Sophos toont aan dat de onder­wijs­sector er steeds beter in slaagt om zich te weren tegen ransom­ware. Daardoor moeten cyber­cri­mi­nelen hun aanpak bijstellen. Uit de studie blijkt ook dat het aantal aanvallen waarbij crimi­nelen geld proberen af te troggelen zonder dat ze gegevens versleu­telen stijgt. Helaas is het losgeld betalen nog steeds de oplossing voor zowat de helft van de slacht­of­fers. De bedragen daarvan zijn wel aanzien­lijk aan het minderen. Daarnaast is 97% van de scholen die een aanval met ransom­ware hebben meege­maakt waarbij gegevens versleu­teld werden, erin geslaagd om die gegevens op de een of andere manier terug te halen. De studie bracht enkele belang­rijke indi­ca­toren aan het licht waarmee de onder­wijs­sector zich kan verde­digen tegen ransomware:

• Meer aanvallen stoppen: Zowel het middel­baar als hoger onderwijs meldden dat het aantal aanvallen dat ze hebben kunnen blokkeren voordat er docu­menten konden worden versleu­teld in de voorbije vier jaar nog nooit hoger was (respec­tie­ve­lijk 67% en 38%)
• Minder betalen: Het afgelopen jaar daalde het bedrag van het losgeld met 73% (gemiddeld met $ 2,83 miljoen). De gemid­delde betaling daalde van $ 6 miljoen naar $ 800.000 voor middel­bare scholen en van $ 4 miljoen naar $ 463.000 in het hoger onderwijs.
• Drastisch lagere herstel­kosten: Naast het losgeld daalden de gemid­delde herstel­kosten met 77% in het hoger onderwijs en met 39% in het middel­baar. Ondanks dat goede nieuws is de herstel­kost voor middel­bare scholen het hoogst verge­leken met alle andere bevraagde sectoren.

Belangrijke aandachtspunten

Hoewel de onder­wijs­sector mooie voor­uit­gang heeft geboekt om de impact van ransom­ware te beperken, zijn er nog serieuze werk­punten. 64% van de slacht­of­fers uit de Sophos-studie meldde geen of ontoe­rei­kende bescher­ming te hebben; 66% gaf aan onge­schikt personeel te hebben (onvol­doende expertise of capa­ci­teit) om aanvallen af te weren; en 67% gaf toe bevei­li­gings­lekken te hebben. Die risico’s wijzen erop dat scholen absoluut moeten inzetten op preventie, aangezien cyber­cri­mi­nelen nieuwe tech­nieken ontwik­kelen, zoals aanvallen met behulp van AI.

Enkele werk­punten die uit de studie naar voren kwamen en die moeten worden aangepakt:

• Drei­gingen aange­stuurd door AI: Middel­bare scholen meldden dat 22% van de ransom­ware-aanvallen terug te leiden waren tot phis­hing­po­gingen. Nu er dankzij AI nog over­tui­gen­dere e‑mails, ‘voice scams’ en deepfakes circu­leren, lopen scholen het risico dat ze proef­ko­nijnen worden voor opkomende tactieken.
• Waar­de­volle gegevens: Instel­lingen voor hoger onderwijs, waar veel research naar AI en datasets voor large-langu­a­ge­mo­dels worden bewaard, blijven een gewild doelwit. De voor­naamste zwaktes zijn dat er misbruik werd gemaakt van zwakke punten (35%) en dat er bevei­li­gings­lekken bleken te zijn waarvan de provider geen weet had (45%).
• Mense­lijke prijs: Elke instel­ling met versleu­telde gegevens maakte melding van een impact op hun IT-personeel. Een op de vier perso­neels­leden nam verlof na een aanval, bijna 40% meldde meer stress te hebben en meer dan een derde voelde zich schuldig dat ze het lek niet hadden kunnen voorkomen.

“Ransom­ware-aanvallen in het onderwijs verstoren niet alleen de lessen, maar hebben ook een impact op studenten, hun families en lesgevers”, aldus Alexandra Rose, Director, CTU Threat Research, Sophos. “Het is goed om te zien dat scholen zich beter wapenen om te reageren op aanvallen, maar de echte prio­ri­teit zou moeten zijn dat ze die aanvallen helemaal kunnen voorkomen. Daarvoor zijn een goede planning en nauwe samen­wer­king met betrouw­bare partners nodig, zeker nu crimi­nelen nieuwe tactieken ontwik­kelen, onder andere met behulp van AI.”

Goede punten behouden

Sophos heeft ervaring met het beschermen van duizenden onder­wijs­in­stel­lingen. Daarom raden experten aan om het gaspedaal niet los te laten en de volgende stappen te nemen om beter voor­be­reid te zijn op nieuwe dreigingen:

• Inzetten op preventie: Dit is de reden waarom het secundair onderwijs er zo goed in slaagde om ransom­ware-aanvallen af te weren nog voor ze gegevens konden versleu­telen. Andere over­heids­or­ga­ni­sa­ties kunnen hier een voorbeeld aan nemen. Detectie- en reac­tie­ca­pa­ci­teiten moeten worden gekoppeld aan het voorkomen van aanvallen.
• Finan­cie­ring: Ga op zoek naar nieuwe finan­cie­rings­bronnen zoals de Ameri­kaanse E‑Rate-subsidies van de Federal Commu­ni­ca­tions Commis­sion om netwerken en firewalls te versterken, of de National Cyber Security Centre-initi­a­tieven van het VK, waaronder een gratis cyber­de­fen­ce­ser­vice voor scholen. Die programma’s kunnen scholen helpen om aanvallen te voorkomen en te doorstaan.
• Stra­te­gieën harmo­ni­seren: Onder­wijs­in­stel­lingen nemen best een geco­ör­di­neerde houding aan om zicht te krijgen op zwakke plekken in hun uitdij­ende IT-domeinen en risico’s te vermin­deren voordat crimi­nelen ze kunnen misbruiken.
• Personeel ontlasten: Een ransom­ware-aanval kan hard inhakken op IT-teams. Scholen kunnen de werkdruk voor die teams verlagen en hun vaar­dig­heden uitbreiden door in zee te gaan met betrouw­bare leve­ran­ciers voor managed detection and response (MDR) en andere permanent beschik­bare expertise.
• Reac­tie­ver­mogen versterken: Zelfs als er meer preven­tief werk gebeurt, moeten scholen in staat zijn om op een incident te reageren. Ze kunnen sneller van een aanval herstellen als er uitge­breide inci­den­tres­ponse-plannen bestaan, door simu­la­ties uit te voeren om zich voor te bereiden op echte scenario’s en door de paraat­heid te verbe­teren met 24/7/365-services zoals MDR.

De gegevens voor het State of Ransom­ware in Education-rapport van 2025 komen van een vendor-neutrale bevraging bij 441 IT- en cyber­se­cu­ri­ty­spe­ci­a­listen – 243 uit instel­lingen van secundair onderwijs en 198 uit hoger onderwijs, die in het afgelopen jaar getroffen waren door ransom­ware. De bevraagde orga­ni­sa­ties hadden tussen de 100 en de 5.000 perso­neels­leden en kwamen uit 17 landen. De studie, die werd uitge­voerd tussen januari en maart 2025, peilde naar de ervaring met ransom­ware in de afgelopen 12 maanden.

Download hier het State of Ransom­ware in Education-rapport van 2025 op Sophos​.com.