W 2025 roku średnie koszty odzyskiwania danych po ataku ransomware w branży edukacyjnej na świecie znacząco spadły – wynika z raportu firmy Sophos. W szkolnictwie wyższym zaobserwowano spadek aż o 77% (do 900 tys. dolarów), a w szkołach podstawowych i średnich – o 39% (do 2,28 mln dolarów). Jednocześnie największym zagrożeniem dla branży pozostają phishing oraz podatności w zabezpieczeniach. Instytucje edukacyjne wciąż zmagają się z brakiem specjalistów IT czy odpowiednich narzędzi ochronnych.
Tegoroczna edycja badania „State of Ransomware in Education” pokazuje, że branża edukacyjna coraz skuteczniej reaguje na ransomware, zmuszając cyberprzestępców do zmiany metod działania. Odsetek instytucji, które zdołały zablokować atak zanim doszło do szyfrowania danych, jest w tym roku najwyższy od czterech lat. W szkołach podstawowych i średnich udało się powstrzymać 67% prób ataków, a w szkolnictwie wyższym – 38%. Jednocześnie placówki edukacyjne coraz szybciej odzyskują pełną sprawność po wystąpieniu incydentów. Ponad połowa poradziła sobie z pełnym odtworzeniem systemów w ciągu tygodnia, podczas gdy jeszcze rok wcześniej odsetek ten wynosił jedynie 30%.
Wykorzystanie kopii zapasowych w edukacji wciąż pozostaje jednak niskie. Wśród placówek, którym przestępcy zaszyfrowali dane, tylko 59% szkół podstawowych i średnich oraz 47% uczelni wyższych odzyskało zasoby wykorzystując kopie zapasowe. Ponad połowa ofiar ataków ransomware zdecydowała się zapłacić okup, aby odzyskać dostęp do informacji.
Czas na edukację z cyberhigieny
Spośród źródeł ataków ransomware phishing – po raz pierwszy w historii badania – został wskazany jako główna techniczna przyczyna incydentów w edukacji niższego szczebla (22% incydentów). W szkołach wektory ataków – phishing, wiadomości e-mail ze złośliwą zawartością, wykorzystywanie luk w zabezpieczeniach oraz przejęte dane uwierzytelniające – rozkładają się też wyjątkowo równomiernie, różniąc się od siebie zaledwie o 3 pp. Tak równomierna struktura nie została odnotowana w żadnej innej branży objętej badaniem. W szkolnictwie wyższym dominowały natomiast inne techniki ataków – już trzeci rok z rzędu wśród tych placówek najczęściej wykorzystywano podatności w systemach, co odpowiadało za 35% incydentów.
– Ataki ransomware w edukacji nie tylko zakłócają pracę placówek, ale uderzają w społeczności uczniów, ich rodzin oraz nauczycieli, zagrażając wrażliwym danym. Kluczem do bezpieczeństwa jest zdolność do zatrzymania ataków jeszcze zanim zaczną wyrządzać szkody. Prewencja, wspierana przez solidne plany reagowania oraz współpracę z zaufanymi partnerami publicznymi i prywatnymi, jest niezbędna, zwłaszcza że cyberprzestępcy coraz częściej korzystają z mechanizmów sztucznej inteligencji – wskazuje Alexandra Rose, dyrektorka CTU Research w Sophos.
Za mało ludzi, za dużo luk
Badanie Sophos ujawnia poważne luki w ochronie branży edukacyjnej. Aż 64% placówek, które padły ofiarą ataku ransomware, wskazało, że doszło do niego przez brak lub nieskuteczność stosowanych narzędzi ochronnych. 66% przyznało, że kluczowym problemem były niedobory kadrowe, a brak pracowników lub specjalistycznej wiedzy uniemożliwiły odparcie ataku na czas. 67% badanych zadeklarowało również, że cyberprzestępcom zadanie ułatwiły luki w zabezpieczeniach systemów. Szkoły podstawowe i średnie jako główną przyczynę ataków najczęściej wskazywały brak ekspertów oraz ograniczone możliwości zespołów. Z kolei uczelnie wyższe podkreślały zagrożenie wynikające z nieznanych luk w systemach.
– Chociaż branża edukacyjna poczyniła spore postępy w walce z ransomware, nie można zapominać, że zagrożenie nie znika. Przeciwnie – ewoluuje z każdą kolejną próbą ataku. Cyfrowa odporność szkół oraz uczelni musi rosnąć równie dynamicznie i obejmować solidne zabezpieczenia techniczne, stałe monitorowanie sieci, a także mechanizmy szybkiego reagowania na incydenty. Wsparciem w tym zakresie mogą być wyspecjalizowane usługi, takie jak Managed Detection and Response (MDR), które pozwalają odciążyć zespoły IT, zapewniając całodobową ochronę. Kluczowe jest też przygotowanie planów awaryjnych i testowanie ich działania. Tylko takie podejście pozwoli ograniczyć wpływ ataków ransomware na placówki, pracowników oraz uczniów – podsumowuje Alexandra Rose.
O badaniu:
Dane do raportu „State of Ransomware in Education 2025” pochodzą z niezależnego badania przeprowadzonego wśród 441 liderów IT i cyberbezpieczeństwa – 243 z placówek edukacyjnych niższego szczebla oraz 198 z uczelni wyższych, które w minionym roku doświadczyły ataków ransomware. Badane podmioty liczyły od 100 do 5000 pracowników i pochodziły z 17 krajów. Ankieta została przeprowadzona w okresie od stycznia do marca 2025 roku, a respondentów pytano o doświadczenia z ransomware z ostatnich 12 miesięcy.
