Sophos-rapport: onderwijssector is beter gewapend tegen ransomware, maar IT-teams betalen menselijke prijs

Hersteltijd steeds beter; 97% van de slachtoffers haalt versleutelde gegevens terug; drastische daling in betaling van losgeld; burn-out en stress stijgen bij personeel
Hengelo, 29 september 2025 – Sophos, wereldwijd leider in innovatieve beveiligingsoplossingen tegen cyberaanvallen, publiceert zijn vijfde jaarlijkse ‘State of Ransomware in Education-rapport’ over de stand van zaken van ransomware in de onderwijssector. In dit wereldwijde onderzoek werden 441 IT- en cybersecurityspecialisten bevraagd en daaruit blijkt dat de onderwijssector grote vooruitgang aan het boeken is in de strijd tegen ransomware. Er worden minder losgeldbetalingen gedaan, de kosten zijn drastisch verminderd en de hersteltijd is gestegen. Maar deze positieve zaken gaan helaas gepaard met hogere werkdruk voor de IT-teams: meer stress, burn-outs en carrière-onderbrekingen als gevolg van aanvallen. Bovendien geeft 40% van de respondenten aan te kampen met angststoornissen.
De afgelopen vijf jaar is ransomware een van de grootste dreigingen geworden voor de onderwijssector. Aanvallen komen nu dagelijks voor. Cybercriminelen zien zowel het middelbaar als het hoger onderwijs als makkelijke doelwitten. Dit omdat ze vaak niet goed gefinancierd zijn, onderbemand zijn en omdat zij beschikken over bijzonder gevoelige gegevens. De gevolgen zijn verstrekkend: lessen kunnen niet doorgaan, er komt druk op de budgetten en er is meer bezorgdheid rond de privacy van leerlingen en personeel. Als scholen zich niet beter verdedigen, lopen ze niet alleen het risico om belangrijke hulpbronnen te verliezen, maar ook het vertrouwen van iedereen die bij school betrokken is.
Indicatoren van succes in de strijd tegen ransomware
De nieuwe studie van Sophos toont aan dat de onderwijssector er steeds beter in slaagt om zich te verweren tegen ransomware. Daardoor moeten cybercriminelen hun aanpak bijstellen. Uit het onderzoek blijkt ook dat het aantal aanvallen stijgt waarbij criminelen geld proberen af te troggelen zonder dat ze gegevens versleutelen. Helaas is het betalen van het losgeld nog steeds de oplossing voor de helft van de slachtoffers. De bedragen zijn wel aanzienlijk minder. Daarnaast is 97% van de scholen die een aanval met ransomware heeft meegemaakt waarbij gegevens versleuteld werden, erin geslaagd om die gegevens op de een of andere manier terug te halen. Het onderzoek bracht enkele belangrijke indicatoren aan het licht waarmee de onderwijssector zich kan verdedigen tegen ransomware:
Meer aanvallen stoppen: zowel het middelbaar als hoger onderwijs meldden dat het aantal aanvallen dat ze hebben kunnen blokkeren voordat er documenten konden worden versleuteld, in de afgelopen vier jaar nog nooit hoger was (respectievelijk 67% en 38%).
Minder betalen: het afgelopen jaar daalde het bedrag van het losgeld met 73% (gemiddeld met $2,83 miljoen). De gemiddelde betaling daalde van $6 miljoen naar $800.000 voor middelbare scholen en van $4 miljoen naar $463.000 voor het hoger onderwijs.
Drastisch lagere herstelkosten: naast het losgeld daalden de gemiddelde herstelkosten met 39% in het middelbaar en met 77% in het hoger onderwijs. Ondanks dit goede nieuws zijn de herstelkosten voor middelbare scholen het hoogst vergeleken met alle andere bevraagde sectoren.
Belangrijke aandachtspunten
Hoewel de onderwijssector mooie vooruitgang heeft geboekt om de impact van ransomware te beperken, zijn er nog serieuze aandachtspunten. 64% van de slachtoffers uit het Sophos-onderzoek meldde geen of ontoereikende bescherming te hebben; 66% gaf aan ongeschikt personeel te hebben (onvoldoende expertise of capaciteit) om aanvallen af te weren; en 67% gaf toe beveiligingslekken te hebben. Deze risico’s wijzen erop dat scholen absoluut moeten inzetten op preventie, aangezien cybercriminelen nieuwe technieken ontwikkelen zoals aanvallen met behulp van AI.
Enkele aandachtspunten die uit het onderzoek naar voren kwamen en die moeten worden aangepakt, zijn:
Dreigingen aangestuurd door AI: middelbare scholen meldden dat 22% van de ransomware-aanvallen terug te leiden was tot phishingpogingen. Nu er dankzij AI nog overtuigendere e-mails, ‘voice scams’ en deepfakes circuleren, lopen scholen het risico dat ze proefkonijnen worden voor opkomende tactieken.
Waardevolle gegevens: hoger onderwijsinstellingen, waar veel onderzoek naar AI en datasets voor large-language models wordt bewaard, blijven een gewild doelwit. De voornaamste zwaktes zijn dat er misbruik werd gemaakt van zwakke punten (35%) en dat er beveiligingslekken bleken te zijn waar de leverancier geen weet van had (45%).
Menselijke prijs: elke instelling met versleutelde gegevens maakte melding van een impact op hun IT-personeel. Een op de vier personeelsleden nam verlof na een aanval, bijna 40% meldde meer stress te hebben en meer dan een derde voelde zich schuldig dat ze het lek niet hadden kunnen voorkomen.
“Ransomware-aanvallen in het onderwijs verstoren niet alleen de lessen, maar hebben ook een impact op studenten, hun families en docenten”, aldus Alexandra Rose, Director, CTU Threat Research, Sophos. “Het is goed om te zien dat scholen zich beter wapenen om te reageren op aanvallen, maar de echte prioriteit zou moeten zijn dat ze die aanvallen helemaal kunnen voorkomen. Daarvoor zijn een goede planning en nauwe samenwerking met betrouwbare partners nodig, zeker nu criminelen nieuwe tactieken ontwikkelen, onder andere met behulp van AI.”
Goede punten behouden
Sophos heeft ervaring met het beschermen van duizenden onderwijsinstellingen. Daarom raden experts aan om het gaspedaal niet los te laten en de volgende stappen te nemen om beter voorbereid te zijn op nieuwe dreigingen:
Inzetten op preventie: dit is de reden waarom het secundair onderwijs er zo goed in slaagde om ransomware-aanvallen af te weren nog voor ze gegevens konden versleutelen. Andere overheidsorganisaties kunnen hier een voorbeeld aan nemen. Detectie- en reactiecapaciteiten moeten worden gekoppeld aan het voorkomen van aanvallen.
Financiering: ga op zoek naar nieuwe financieringsbronnen zoals de Amerikaanse E-Rate-subsidies van de Federal Communications Commission om netwerken en firewalls te versterken, of de National Cyber Security Centre-initiatieven van het VK, waaronder een gratis cyberdefenceservice voor scholen. Die programma’s kunnen scholen helpen om aanvallen te voorkomen en te doorstaan.
Strategieën harmoniseren: onderwijsinstellingen moeten meer gecoördineerde werken om zicht te krijgen op zwakke plekken in hun uitdijende IT-domeinen en risico’s te verminderen voordat criminelen ze kunnen misbruiken.
Personeel ontlasten: een ransomware-aanval kan een grote impact hebben op IT-teams. Scholen kunnen de werkdruk voor die teams verlagen en hun vaardigheden uitbreiden door samen te werken met betrouwbare leveranciers voor managed detection and response (MDR) en andere permanent beschikbare expertise.
Reactievermogen versterken: zelfs als er meer preventief werk gebeurt, moeten scholen in staat zijn om op een incident te reageren. Ze kunnen sneller van een aanval herstellen als er uitgebreide incidentresponse-plannen bestaan, door simulaties uit te voeren om zich voor te bereiden op echte scenario’s en door de paraatheid te verbeteren met 24/7/365-services zoals MDR.
Aan het State of Ransomware in Education-rapport van 2025 deden 441 IT- en cybersecurityspecialisten mee – 243 uit instellingen van secundair onderwijs en 198 uit hoger onderwijs – die in het afgelopen jaar getroffen waren door ransomware. De bevraagde organisaties hadden tussen de 100 en de 5.000 personeelsleden en kwamen uit 17 landen. Het onderzoek, dat werd uitgevoerd tussen januari en maart 2025, peilde de ervaring met ransomware in de afgelopen 12 maanden.

Download het State of Ransomware in Education-rapport van 2025 op Sophos.com.

Over Sophos
Sophos is wereldwijd een toonaangevende innovator op het gebied van geavanceerde cybersecurity-oplossingen in de strijd tegen cyberaanvallen. Het bedrijf nam Secureworks over in februari 2025 en bracht zo twee pioniers samen die de cybersecuritysector gevormd hebben met hun innovatieve, native AI-geoptimaliseerde diensten, technologieën en producten. Sophos is nu de grootste pure-play Managed Detection & Response (MDR)-provider en ondersteunt meer dan 28.000 organisaties. Behalve MDR omvat het portfolio van Sophos toonaangevende security voor endpoints, netwerk, e-mail en cloud, die zich integreert en aanpast om beveiliging te bieden via het Sophos Central Platform. Secureworks levert de innovatieve, toonaangevende Taegis XDR/MDR, identity threat detection and response (ITDR), next-gen SIEM-mogelijkheden, managed risk en een uitgebreid aanbod aan adviesdiensten. Sophos verkoopt al deze oplossingen via resellerpartners, Managed Service Providers (MSP’s) en Managed Security Service Providers (MSSP’s) wereldwijd, en beschermt meer dan 600.000 organisaties wereldwijd tegen phishing, ransomware, gegevensdiefstal, andere dagelijkse en door staten gesponsorde cybercriminaliteit. De oplossingen worden aangedreven door historische en realtime dreigingsinformatie van Sophos X-Ops en de recent toegevoegde Counter Threat Unit (CTU). Sophos heeft zijn hoofdkantoor in Oxford, VK. Meer informatie is te vinden op www.sophos.com.