Sophos heeft zijn vijfde jaarlijkse State of Ransomware in Education-rapport gepubliceerd over de stand van zaken rond ransomware in de onderwijssector. In die wereldwijde studie werden 441 IT- en cybersecurityspecialisten bevraagd en daaruit blijkt dat de onderwijssector grote vooruitgang aan het boeken is in de strijd tegen ransomware. Er worden minder losgeldbetalingen gedaan, de kosten zijn drastisch verminderd en de hersteltijd is gestegen. Maar die positieve zaken gaan helaas gepaard met hogere werkdruk voor de IT-teams: meer stress, burn-outs en carrière-onderbrekingen als gevolg van aanvallen. Bovendien geeft 40% van de respondenten aan dat ze kampen met angststoornissen.
De voorbije vijf jaar is ransomware een van de grootste dreigingen voor de onderwijssector geworden. Aanvallen komen nu dagelijks voor. Zowel het middelbaar als het hoger onderwijs worden door cybercriminelen beschouwd als makkelijke doelwitten omdat ze vaak niet goed gefinancierd en onderbemand zijn en omdat er bijzonder gevoelige gegevens te rapen zijn. De gevolgen zijn verstrekkend: lessen kunnen niet doorgaan, er komt druk op de budgetten en er is meer bezorgdheid rond de privacy van leerlingen en personeel. Als scholen zich niet beter verdedigen, lopen ze niet alleen het risico om belangrijke hulpbronnen te verliezen, maar ook het vertrouwen van iedereen die bij school betrokken is.
Indicatoren van succes in de strijd tegen ransomware
De nieuwe studie van Sophos toont aan dat de onderwijssector er steeds beter in slaagt om zich te weren tegen ransomware. Daardoor moeten cybercriminelen hun aanpak bijstellen. Uit de studie blijkt ook dat het aantal aanvallen waarbij criminelen geld proberen af te troggelen zonder dat ze gegevens versleutelen stijgt. Helaas is het losgeld betalen nog steeds de oplossing voor zowat de helft van de slachtoffers. De bedragen daarvan zijn wel aanzienlijk aan het minderen. Daarnaast is 97% van de scholen die een aanval met ransomware hebben meegemaakt waarbij gegevens versleuteld werden, erin geslaagd om die gegevens op de een of andere manier terug te halen. De studie bracht enkele belangrijke indicatoren aan het licht waarmee de onderwijssector zich kan verdedigen tegen ransomware:
- Meer aanvallen stoppen: Zowel het middelbaar als hoger onderwijs meldden dat het aantal aanvallen dat ze hebben kunnen blokkeren voordat er documenten konden worden versleuteld in de voorbije vier jaar nog nooit hoger was (respectievelijk 67% en 38%)
- Minder betalen: Het afgelopen jaar daalde het bedrag van het losgeld met 73% (gemiddeld met $ 2,83 miljoen). De gemiddelde betaling daalde van $ 6 miljoen naar $ 800.000 voor middelbare scholen en van $ 4 miljoen naar $ 463.000 in het hoger onderwijs.
- Drastisch lagere herstelkosten: Naast het losgeld daalden de gemiddelde herstelkosten met 77% in het hoger onderwijs en met 39% in het middelbaar. Ondanks dat goede nieuws is de herstelkost voor middelbare scholen het hoogst vergeleken met alle andere bevraagde sectoren.
Belangrijke aandachtspunten
Hoewel de onderwijssector mooie vooruitgang heeft geboekt om de impact van ransomware te beperken, zijn er nog serieuze werkpunten. 64% van de slachtoffers uit de Sophos-studie meldde geen of ontoereikende bescherming te hebben; 66% gaf aan ongeschikt personeel te hebben (onvoldoende expertise of capaciteit) om aanvallen af te weren; en 67% gaf toe beveiligingslekken te hebben. Die risico’s wijzen erop dat scholen absoluut moeten inzetten op preventie, aangezien cybercriminelen nieuwe technieken ontwikkelen, zoals aanvallen met behulp van AI.
Enkele werkpunten die uit de studie naar voren kwamen en die moeten worden aangepakt:
- Dreigingen aangestuurd door AI: Middelbare scholen meldden dat 22% van de ransomware-aanvallen terug te leiden waren tot phishingpogingen. Nu er dankzij AI nog overtuigendere e-mails, ‘voice scams’ en deepfakes circuleren, lopen scholen het risico dat ze proefkonijnen worden voor opkomende tactieken.
- Waardevolle gegevens: Instellingen voor hoger onderwijs, waar veel research naar AI en datasets voor large-languagemodels worden bewaard, blijven een gewild doelwit. De voornaamste zwaktes zijn dat er misbruik werd gemaakt van zwakke punten (35%) en dat er beveiligingslekken bleken te zijn waarvan de provider geen weet had (45%).
- Menselijke prijs: Elke instelling met versleutelde gegevens maakte melding van een impact op hun IT-personeel. Een op de vier personeelsleden nam verlof na een aanval, bijna 40% meldde meer stress te hebben en meer dan een derde voelde zich schuldig dat ze het lek niet hadden kunnen voorkomen.
“Ransomware-aanvallen in het onderwijs verstoren niet alleen de lessen, maar hebben ook een impact op studenten, hun families en lesgevers”, aldus Alexandra Rose, Director, CTU Threat Research, Sophos. “Het is goed om te zien dat scholen zich beter wapenen om te reageren op aanvallen, maar de echte prioriteit zou moeten zijn dat ze die aanvallen helemaal kunnen voorkomen. Daarvoor zijn een goede planning en nauwe samenwerking met betrouwbare partners nodig, zeker nu criminelen nieuwe tactieken ontwikkelen, onder andere met behulp van AI.”
Goede punten behouden
Sophos heeft ervaring met het beschermen van duizenden onderwijsinstellingen. Daarom raden experten aan om het gaspedaal niet los te laten en de volgende stappen te nemen om beter voorbereid te zijn op nieuwe dreigingen:
- Inzetten op preventie: Dit is de reden waarom het secundair onderwijs er zo goed in slaagde om ransomware-aanvallen af te weren nog voor ze gegevens konden versleutelen. Andere overheidsorganisaties kunnen hier een voorbeeld aan nemen. Detectie- en reactiecapaciteiten moeten worden gekoppeld aan het voorkomen van aanvallen.
- Financiering: Ga op zoek naar nieuwe financieringsbronnen zoals de Amerikaanse E-Rate-subsidies van de Federal Communications Commission om netwerken en firewalls te versterken, of de National Cyber Security Centre-initiatieven van het VK, waaronder een gratis cyberdefenceservice voor scholen. Die programma’s kunnen scholen helpen om aanvallen te voorkomen en te doorstaan.
- Strategieën harmoniseren: Onderwijsinstellingen nemen best een gecoördineerde houding aan om zicht te krijgen op zwakke plekken in hun uitdijende IT-domeinen en risico’s te verminderen voordat criminelen ze kunnen misbruiken.
- Personeel ontlasten: Een ransomware-aanval kan hard inhakken op IT-teams. Scholen kunnen de werkdruk voor die teams verlagen en hun vaardigheden uitbreiden door in zee te gaan met betrouwbare leveranciers voor managed detection and response (MDR) en andere permanent beschikbare expertise.
- Reactievermogen versterken: Zelfs als er meer preventief werk gebeurt, moeten scholen in staat zijn om op een incident te reageren. Ze kunnen sneller van een aanval herstellen als er uitgebreide incidentresponse-plannen bestaan, door simulaties uit te voeren om zich voor te bereiden op echte scenario’s en door de paraatheid te verbeteren met 24/7/365-services zoals MDR.
De gegevens voor het State of Ransomware in Education-rapport van 2025 komen van een vendor-neutrale bevraging bij 441 IT- en cybersecurityspecialisten – 243 uit instellingen van secundair onderwijs en 198 uit hoger onderwijs, die in het afgelopen jaar getroffen waren door ransomware. De bevraagde organisaties hadden tussen de 100 en de 5.000 personeelsleden en kwamen uit 17 landen. De studie, die werd uitgevoerd tussen januari en maart 2025, peilde naar de ervaring met ransomware in de afgelopen 12 maanden.
Download hier het State of Ransomware in Education-rapport van 2025 op Sophos.com.
