Wereldwijd had tachtig procent van de onderwijsinstellingen in 2022 last van ransomware. Dit is beduidend hoger dan een jaar eerder, toen rond de zestig procent van de instellingen zulke aanvallen meldden. De onderwijssector betaalde bovendien relatief vaak het losgeld dat met de datagijzeling is gemoeid. Dit blijkt uit onderzoek van ict-beveiliger Sophos, die oproept om meer te backuppen.
Losgeld
Toch maakt vooral het hoger onderwijs volgens Sophos relatief weinig gebruik van backups, ook in vergelijking met andere sectoren. Het gevolg is dat relatief vaak losgeld wordt betaald. Ongeveer de helft van de organisaties blijkt te voldoen aan de eisen van de criminelen: 56 procent van de hogeronderwijsinstellingen en 47 procent van de lageronderwijsinstellingen betaalde een bedrag om weer bij hun data en systemen te kunnen komen.
Door te voldoen aan de eisen van de datagijzelnemers vallen de totale kosten voor herstel hoger uit dan bij het gebruik van een backup. Voor hoger onderwijs bedroegen de totale herstelkosten gemiddeld 1,2 miljoen euro bij losgeldbetaling (exclusief het betaalde losgeld) en 900.000 euro bij gebruik van backups. Lager onderwijs betaalde gemiddeld twee miljoen euro bij losgeldbetaling en 1,26 miljoen euro zonder. Betaling van losgeld houdt het businessmodel van de criminelen in stand en wordt over het algemeen afgeraden.
Hersteltijd
Betaling van losgeld vertraagt bovendien het herstel, aldus de onderzoekers. Onder de getroffen onderwijsinstellingen met een backup waren er meer binnen een maand hersteld van een ransomwareaanval, dan onder de instellingen die losgeld moesten voldoen. Het gaat om bijna tachtig procent van de hogeronderwijsinstellingen en ruim zestig procent van de lageronderwijsinstellingen met backup, tegenover ruim zestig procent van de hogeronderwijsinstellingen en bijna zestig procent van de lageronderwijsinstellingen die losgeld betaalden.
Voor het onderzoek ondervroegen Sophos wereldwijd drieduizend ict- en securityleiders in organisaties. Tweehonderd respondenten zijn werkzaam in openbare en particuliere instellingen voor onderwijs tot achttien jaar en nog eens tweehonderd respondenten werken in het onderwijs voor achttienplussers.
Volgens Chester Wisniewski, Field CTO en Sophos is het gebruik van ransomware (vooral as-a-service?) lucratief. “Ondanks dat de meeste scholen weinig contant geld hebben, zijn het zeer zichtbare doelen met een onmiddellijke grootschalige impact op hun gemeenschappen. De druk om de deuren open te houden en te reageren op oproepen van ouders om ‘iets te doen’ leidt waarschijnlijk tot druk om het probleem zo snel mogelijk op te lossen zonder rekening te houden met de kosten. Helaas bevestigen de resultaten niet dat aanvallen sneller worden opgelost als er losgeld wordt betaald, maar het is waarschijnlijk wel een factor in de selectie van slachtoffers voor de criminelen.” Daarbij “…. kampt de sector met een aanzienlijk groter aantal ransomware-aanvallen waarbij vertrouwde (vertrouwelijke) gegevens in gevaar kwamen. Voor zowel organisaties in het hoger onderwijs ligt dit percentage op 37% en voor het lager onderwijs op 36%. Het sectorgemiddelde bedraagt 29%.”
Scholen zijn nu blijkbaar erg gevoelig voor de druk van ouders, maar pas als het mis is gegaan. “Slechts een kwart van de aanvallen kan tijdig vermeden, in het lager onderwijs is dit zelfs minder dan een op vijf.” “Organisaties uit het hogere onderwijs rapporteren dat in 35 procent van de gevallen de data ook nog eens gestolen wordt, hoger dan het sectorgemiddelde van om en bij dertig procent. ”
Zie ook https://www.dutchitleaders.nl/news/400047/onderwijssector-is-het-vaakst-doelwit-van-ransomware en https://schoolit.be/nieuws/infrastructuur/onderwijs-ransomware.
Ook als de respondenten voor het onderzoek niet geheel representatief zijn voor de scholen in Nederland, dan nog wordt je er niet vrolijk van dat het zo ver is ontspoort door slecht beheer.
Rapport op basis van een enquête onder 400 IT/Cybersecurity specialisten in 14 landen mist statistische breedte, representatie voor conclusies in Nederland lijken me daarom gebouwd op drijfzand. Ik vul als antwoord op mijn eerder vraag daarom een NEE in, betrouwbaarheid van cijfers is onvoldoende om er beleid op te bouwen. Rapportages op financiën moet je dan ook niet de IT/Cybersecurity specialist vragen maar gewoon aan de boekhouder. Mits er niet gefraudeerd wordt want schooldirecteur in het primaire onderwijs is net zo creatief in boekhouden als Hugo de Jong.
Uit onderzoek blijkt verder geen relevantie te zijn met ransomware-as-a-service. Volgens het rapport zijn de meest dominante oorzaken voor ransomware slecht beveiligde accounts, niet patchen van systemen en gebruikelijke phising e-mails. Hoewel procentuele verhoudingen verschillen tussen niveau van onderwijs vindt ruim 95% van de ransomware een oorzaak in de 3 genoemde aanvalsvlakken. Er valt dus wat te zeggen over het beheer, een simpele schiding op netwerk niveau lijkt me effectieve betutteling. Ongecontroleerde toegang tot het internet lijkt me onnodig voor het basisonderwijs want ik was zo’n ouder die bezwaar maakte tegen het openzetten van de deuren.
Met ransomware-as-a-service bedoel ik dat betalende affiliates de ransomware inzetten en niet de ransomware groep zelf. De laatste groep zorgt voor (door)ontwikkeling van ransomware, de verkoop van ransomware-as-a-service en aanpalende cybercrime diensten. Zo zijn er minder broodkruimels die naar de eigen organisatie leiden. Meestal richt de ransomware groep zich met eigen afdelingen alleen op de grootste vissen, net als grote hardware en XaaS leveranciers dat doen. Een ransomware groep gedraagt zich grotendeels als een FinTech bedrijf, alleen op criminele en illegale basis. Zie https://www.crowdstrike.com/cybersecurity-101/ransomware/ransomware-as-a-service-raas/.