Результаты независимого опроса 5600 ИТ-специалистов в организациях среднего размера из 31 страны, включая 730 респондентов из отрасли образования.
Введение.
Ежегодное исследование компании Sophos о реальном опыте ИТ-специалистов в сфере образования, связанном с вымогательством, выявило усложнение среды кибератак, а также рост финансового и операционного бремени, которое атаки шифровальщиков накладывают на своих жертв. Исследование также проливает новый свет на взаимосвязь между шифровальщиками и киберстрахованием, включая роль, которую играет страхование в стимулировании изменений в киберзащите.
Об исследовании.
Sophos поручила исследовательскому агентству Vanson Bourne провести независимый опрос 5 600 ИТ-специалистов из организаций среднего размера (100-5 000 сотрудников) в 31 стране.
320 респондентов представляли средние учебные заведения, т.е. организации, обслуживающие учащихся младше 18 лет, включая начальные, средние, начальные, старшие школы и учебные заведения K-12. 410 респондентов представляли сектор высшего образования, включающий организации, обслуживающие студентов старше 18 лет, такие как колледжи и университеты. Учитывая многочисленные различия между небольшой школой и крупным университетом, такое разделение позволяет нам получить более глубокое представление о проблемах и опыте, с которыми сталкиваются различные типы образовательных организаций.
Опрос проводился в январе и феврале 2022 года, и респондентам было предложено ответить, основываясь на своем опыте за предыдущий год.
- 5 600 респондентов.
- 320 респондентов из сферы среднего образования.
- 410 респондентов высшего образования.
- 31 страна.
- 100-5 000 сотрудников.
- Исследование проводилось в январе/феврале 2022.
Число атак шифровальщиков на образовательные учреждения растет.
56% организаций среднего образования и 64% организаций высшего образования подвергались атакам шифровальщиков в прошлом году. Это значительно больше, чем 44% респондентов из сферы образования, которые сообщили об атаках в нашем исследовании 2021 года (на основе 499 респондентов из сферы среднего и высшего образования).
Этот скачок в количестве атак является частью межотраслевой тенденции: во всех секторах 66% респондентов сообщили об атаках шифровальщиков, по сравнению с 37% годом ранее.
Хотя в сфере образования частота атак ниже средней, процент успешного шифрования данных в этом секторе значительно превышает медианные значения. Высшее образование имеет самый высокий показатель шифрования данных среди всех исследованных секторов (74% атак привели к шифрованию данных), в то время как среднее образование лишь немного отстает - 72%. Для сравнения, среднемировой показатель успешности атак составляет 65%. Эти данные свидетельствуют о том, что отрасль образования плохо подготовлена к защите от атаки шифровальщиков и, скорее всего, не имеет многоуровневой защиты, необходимой для предотвращения шифрования, если атакующему все же удастся проникнуть в организацию.
Высокий процент успешных атак является частью все более сложной широкой среды угроз, которая затронула организации во всех отраслях: во всем мире 57% респондентов сообщили об увеличении количества кибератак в прошлом году, 59% - о росте сложности атак и 53% - об увеличении масштабов воздействия. В целом, 72% респондентов сообщили об увеличении хотя бы одного из этих показателей.
Хотя респонденты как в сфере среднего, так и высшего образования были затронуты изменением угроз, в сфере образования процент респондентов, сообщивших о росте во всех трех областях (объем, сложность, воздействие), был ниже среднего.
Рис. 1: Статистика атак шифровальщиков.
|
Рост числа атак |
Рост сложности атак |
Рост ущерба |
Среднее образование |
47% |
50% |
49% |
Высшее образование |
53% |
50% |
50% |
Среднее по миру |
57% |
59% |
53% |
Большинство жертв из сферы образования получают часть зашифрованных данных обратно.
По мере распространения программ-вымогателей организации стали лучше справляться с последствиями атак. Почти все организации среднего (99%) и высшего (98%) образования, пострадавшие от успешной атаки шифровальщика, получили часть зашифрованных данных обратно.
Резервное копирование - это метод №1, используемый для восстановления данных, которым воспользовались 76% организаций среднего образования и 70% организаций высшего образования, чьи данные были зашифрованы (средний мировой показатель - 73%).
В то же время 45% организаций среднего образования и 50% организаций высшего образования сообщили, что заплатили выкуп за восстановление данных, в то время как в среднем по миру этот показатель составляет 46%. Кроме того, 35% в средних учебных заведениях и 34% в высших учебных заведениях заявили, что использовали другие средства для восстановления данных, в то время как в среднем по миру этот показатель составляет 30%.
Эти цифры показывают, что образовательные организации склонны использовать несколько подходов к восстановлению данных параллельно, чтобы максимально ускорить и повысить эффективность восстановления работоспособности. В целом, половина (50%) респондентов из сферы среднего образования и почти половина (49%) респондентов из сферы высшего образования, чьи данные были зашифрованы, использовали несколько методов восстановления данных по сравнению со среднемировым показателем в 44%.
Рис. 2: Статистика по восстановлению данных после атаки.
|
Платили выкуп |
Использовали бэкапы |
Прочие методы |
Среднее образование |
45% |
76% |
35% |
Высшее образование |
50% |
70% |
34% |
Среднее по миру |
46% |
73% |
30% |
Процент данных, восстановленных в секторе образования после выплаты выкупа.
Хотя выплата выкупа почти всегда позволяет вернуть часть данных, процент данных, восстановленных после выплаты выкупа, за последний год снизился.
В среднем в 2021 году организации среднего образования, заплатившие выкуп, получили обратно 62% своих зашифрованных данных, а организации высшего образования получили обратно 61% своих зашифрованных данных. Это соответствует среднему мировому показателю в 61%. Однако это меньше, чем 68% восстановленных данных, о которых образовательные организации сообщали в 2020 году.
Аналогичным образом, только 4% из тех, кто заплатил выкуп в 2021 году, получили ВСЕ свои данные обратно, по сравнению с 8% в 2020 году. В 2021 году этот показатель был еще меньше для организаций среднего (2%) и высшего (2%) образования.
Основной вывод здесь заключается в том, что уплата выкупа позволит восстановить только часть зашифрованных данных, и вы не можете рассчитывать на то, что уплата выкупа вернет вам все ваши данные.
Рис. 3: Процент данных, восстановленный после шифрования.
Шифровальщики наносят крупный финансовый и операционный ущерб образовательным учреждениям.
Суммы выкупа - это только часть истории, воздействие шифровальщиков гораздо шире, чем просто зашифрованные базы данных и устройства.
94% респондентов из сферы среднего образования и 97% респондентов из сферы высшего образования, пострадавших от шифровальщиков, заявили, что атака повлияла на их способность работать, а 92% (в среднем) и 96% (в высшем) респондентов, работающих в частном секторе, заявили, что атака привела к потере бизнеса/доходов их организации. Коммерческое и операционное воздействие на высшее образование было самым высоким среди всех отраслей по обоим направлениям. Среднее образование уступило высшему образованию по потерям бизнеса/доходов.
Что касается общих затрат на устранение последствий атаки, то и в организациях среднего образования ($1,58 млн.), и в организациях высшего образования ($1,42 млн.) затраты оказались выше, чем в среднем по миру ($1,4 млн.). Вероятно, такие высокие счета обусловлены несколькими факторами, в том числе большим коммерческим и операционным воздействием, о котором уже сообщалось, и более медленным, чем в среднем, временем восстановления как в отрасли среднего, так и высшего образования.
Что касается времени восстановления, то, по данным высшего образования, 40% организаций, пострадавших от шифровальщиков, потребовалось до недели для восстановления после наиболее значительной атаки. 26% респондентов потребовалось более месяца на восстановление, 21% респондентов - от 1 до 3 месяцев, а 5% - от 3 до 6 месяцев.
В то же время высшее образование показало самые медленные темпы восстановления среди всех отраслей: 9% респондентов сообщили о периоде восстановления от 3 до 6 месяцев, что более чем в два раза превышает средний мировой показатель в 4%. 31% респондентов из сферы высшего образования потребовалось 1-3 месяца для восстановления, что также почти вдвое превышает средний мировой показатель в 16%. В целом, 40% респондентов в сфере высшего образования потребовалось более месяца на восстановление по сравнению со средним мировым показателем в 20%.
Продолжительность |
Среднее образование |
Высшее образование |
3-6 месяцев |
5% |
9% |
1-3 месяца |
21% |
31% |
Более месяца |
26% |
40% |
Рис. 4: Влияние атаки.
В сфере образования низкий уровень покрытия киберстрахования от атак шифровальщиков.
Во всех отраслях в среднем 83% организаций использовали киберстрахование от атак шифровальщиков. Для сравнения, только 78% организаций среднего и высшего образования имеют страховое покрытие.
Среди тех, кто имеет киберстрахование, процесс обеспечения страхового покрытия изменился за последний год для более чем 90% респондентов:
- 39% в организациях среднего образования и 44% в организациях высшего образования утверждают, что меньше поставщиков предлагают киберстрахование.
- 50% респондентов с среднего образования и 49% с высшего утверждают, что уровень кибербезопасности, необходимый для получения права на киберстрахование, теперь выше.
- 46% представителей средних учебных заведений и 40% представителей высших учебных заведений говорят, что полисы стали более комплексными.
- 35% опрошенных представителей средних учебных заведений и 41% высших утверждают, что процесс страхования занимает больше времени.
- 34% в средних учебных заведениях и 31% в высших учебных заведениях сообщают, что страхование стало дороже.
Эти изменения тесно связаны с шифровальщиками, которые являются крупнейшей причиной страховых выплат по киберстрахованию. В последние годы атаки с целью получения выкупа участились, а суммы и выплаты резко возросли. В результате некоторые страховые компании ушли с рынка, поскольку он стал для них просто невыгодным.
Поскольку все меньше организаций предоставляют страховое покрытие по киберстрахованию, это рынок продавцов. Они сами выбирают, кого страховать, и могут избирательно подходить к выбору клиентов. Оставшиеся поставщики страховых услуг стремятся снизить риски, а также значительно повышают цены. Наличие надежной киберзащиты значительно повысит способность организации получить необходимое страховое покрытие.
- 78% - покрытие киберстрахования от атак шифровальщиков в сфере образования.
Киберстрахование стимулирует повышение уровня информационной безопасности в образовательных учреждениях.
Сложная ситуация на рынке киберстрахования заставляет образовательные организации совершенствовать свою киберзащиту: за последний год 95% организаций среднего образования и 96% организаций высшего образования улучшали свою киберзащиту. Хотя эти показатели очень высоки, они являются самыми низкими среди всех опрошенных отраслей, что говорит о том, что проблема - всеобщая.
Если углубиться в детали, то 57% организаций среднего образования и 68% организаций высшего образования внедрили новые технологии/сервисы для улучшения своего страхового положения. Для сравнения, среднемировой показатель составляет 64%.
Что касается повышения уровня подготовки и обучения персонала в области кибербезопасности, 53% организаций среднего образования инвестировали в эту область по сравнению с 48% организаций высшего образования (самый низкий показатель среди опрошенных отраслей). 50% в среднем образовании и 49% в высшем образовании изменили процессы.
|
Изменили процессы безопасности |
Внедрили новые технологии |
Улучшили обучение персонала |
Изменили бизнес-процессы |
Среднее образование |
95% |
57% |
53% |
50% |
Высшее образование |
96% |
68% |
48% |
49% |
Среднее по миру |
97% |
64% |
56% |
52% |
Образование имеет высокие показатели выплат по киберстрахованию.
Хорошей новостью для образовательных организаций, имеющих киберстрахование, является то, что в случае атаки шифровальщика страховка почти всегда возмещает некоторые расходы: в сфере среднего образования этот показатель составляет 99%, а в сфере высшего образования - 100%.
Существуют интересные различия в том, за что выплачивается страховка. Высшее образование сообщило о самом высоком (87%) уровне выплат по расходам на устранение инцидента среди всех отраслей.
И наоборот, в сфере среднего образования зафиксирован самый высокий показатель выплат выкупа, причем страховка покрывала выкуп в более чем половине (53%) инцидентов.
Однако стоит помнить, что хотя киберстрахование поможет вернуть вас в «норму», оно не покрывает улучшение, то есть в любом случае необходимо инвестировать в технологии и сервисы для устранения слабых мест, которые привели к атаке.
Рис. 5: Выплаты от страховых после инцидента.
Заключение.
Проблема атак шифровальщиков, с которой сталкиваются образовательные организации, продолжает усугубляться. Доля образовательных учреждений, непосредственно пострадавших от шифровальщиков, значительно увеличилась за последний год. Кроме того, вымогатели имеют более чем средний показатель успеха, когда речь идет о шифровании данных в ходе атаки.
В условиях повсеместного распространения шифровальщиков образовательные организации стали лучше справляться с последствиями атак: практически все теперь получают часть зашифрованных данных обратно, а почти три четверти могут использовать резервные копии для восстановления данных.
В то же время доля зашифрованных данных, восстановленных образовательными организациями после выплаты выкупа, соответствует среднемировому показателю в 61%: в сфере среднего образования - 62%, в сфере высшего образования - 61%.
Финансовое воздействие шифровальщиков огромно. Шифровальщики также серьезно влияют на операционную деятельность и доходы в сфере образования.
Многие организации в этом секторе предпочитают снизить риск, связанный с кибератаками, путем оформления киберстрахования. Их успокаивает тот факт, что страховщики оплачивают некоторые расходы почти по всем случаям.
Однако организациям, особенно в отрасли образования, становится все труднее обеспечить страховое покрытие. Хотя многие образовательные организации внесли изменения в свои системы киберзащиты, чтобы улучшить свое положение в сфере киберстрахования, опрос показывает, что образовательные организации отстают от других секторов, когда речь идет об улучшении их защиты.
Оптимизация защиты от шифровальщиков сейчас важна как никогда. Вот пять наших главных советов:
- Обеспечьте качественную защиту во всех точках вашей среды. Пересмотрите средства контроля безопасности и убедитесь, что они по-прежнему отвечают вашим потребностям.
- Проактивно ищите угрозы, чтобы остановить атакующих до того, как они смогут достигнуть цели - если у вас нет времени или навыков, работайте со специализированными сервисами кибербезопасности MDR (managed detection and response).
- Укрепление среды путем поиска и устранения пробелов в безопасности: непропатченных устройств, незащищенных машин, открытых портов RDP и т.д. Расширенное обнаружение и реагирование (XDR) идеально подходит для этой цели.
- Подготовьтесь к худшему. Знайте, что делать в случае кибер-инцидента и к кому обращаться.
- Создавайте резервные копии и тренируйтесь восстанавливать их. Ваша цель - быстро восстановить работоспособность с минимальными простоями.
Подробную информацию об отдельных группах шифровальщиков можно найти в аналитическом центре угроз компании Sophos.
Приложение: данные опросов.
Атаки шифровальщиков по отраслям.
Рис. 6: За последний год ваша организация подвергалась атакам шифровальщиков?.
*Утвердительные ответы от 5600 опрошенных организаций
Уровень шифрования данных в образовании выше среднего по миру.
Рис. 7: Удалось ли злоумышленникам зашифровать данные вашей организации?
* Утвердительные ответы от 3702 организаций, пострадавших от шифровальщиков за последний год
Скорость выплаты выкупа.
Рис. 8: Удалось ли вашей организации вернуть какие-либо данные?
* Утвердительные ответы от 2398 организаций, в которых были зашифрованы данные.
Восстановление данных после уплаты выкупа.
Рис. 9: Какой процент зашифрованных данных был возвращен?
*Данные от 1107 организаций, заплативших выкуп и получивших данные обратно.
При выплате выкупа редко удается вернуть все данные.
Рис.10:Процент организаций, вернувших все свои зашифрованные данные.
*Данные от 1262 организаций, которые заплатили выкуп и вернули какие-либо данные.
Изменения в опыте кибератак за последний год.
Рис. 11: С точки зрения объема, сложности и воздействия, как изменился опыт вашей организации в отношении кибер-атак за последний год?
*Данные от 5600 организаций «Сильно увеличился, Незначительно увеличился»
Образование испытывает расходы на устранение атак выше среднего уровня.
Рис. 12: Во сколько примерно обошлось вашей организации устранение последствий атаки (учитывая время простоя, время людей, стоимость устройства, стоимость сети, упущенные возможности, уплаченный выкуп и т.д.)?
*Данные от 3702 организаций, пострадавших от атак шифровальщшиков.
Влияние шифровальщиков на образование является самым высоким среди всех отраслей.
Рис. 13: Повлияла ли наиболее значительная атака шифровальщика на работоспособность вашей организации?
*Данные от 3702 организаций, пострадавших от атак шифровальщиков в предыдущем году
Образование имеет низкий уровень покрытия киберстрахования от шифровальщиков.
Рис. 14: Имеет ли ваша организация киберстрахование, которое покрывает ее в случае поражения шифровальщиком?
*базовые данные в диаграмме: Да; Да, но в нашем полисе есть исключения/исключения.
Как обстоят дела в образовании: Уровень выплат по киберстрахованию по секторам
Рис. 15: Выплачивалась ли страховка для покрытия расходов, связанных с атакой шифровальщика?
*Данные от 3308 организаций, пострадавших от шифровальщиков в предыдущем году и имеющих киберстрахование от шифровальщиков. Ответы: Да, были оплачены расходы на ликвидацию последствий (например, затраты на восстановление работоспособности организации); Да, был выплачен выкуп; Да, были оплачены другие расходы (например, стоимость простоя, упущенные возможности и т.д.)
Источник: https://news.sophos.com