【提升危機意識】Sophos 最新研究揭教育界成勒索軟件頭號目標

網絡安全廠商 Sophos 發布《Sophos 2021 教育行業對勒索軟件形勢分析》，揭示去年全球教育行業遭勒索軟件攻擊的程度和影響，業界正面對最高級別網絡攻擊及最昂貴修復成本！Sophos 指針對教育行業的勒索軟件攻擊漸趨頻繁，例如 REvil 入侵 Kaseya 攻擊紐西蘭學校，以及近日 FBI 與英國國家網路安全中心，就勒索軟件入侵校園網絡發警示，而今次研究結果亦反映教育界缺乏防禦網路威脅的能力。

Sophos 這個研究，一共訪問 5,400 位來自 30 個國家或地區的 IT 決策人員，當中包括 499 名教育機構的 IT 管理人員，他們分別來自歐洲、美洲、亞太地區和中亞、中東和非洲等地區。44% 來自教育界的受訪機構表示，於 2020 年曾遭受最高級別的勒索軟件攻擊 (對比跨行業的平均數為 37%)；於 2020 年勒索軟件對教育界造成極為嚴重的經濟損失，包括：停機時間、員工時間、設備成本、網路成本、錯失的商機、贖金等，令教育行業平均損失多達 273 萬美元，為眾多受訪行業中之首，較全球平均損失值高出 48%。

在遭受勒索軟件攻擊的教育機構中，有超過一半 (58%) 的受訪機構表示，黑客曾加密機構數據，而在數據遭加密處理的受訪機構中，有超過三分之一 (35%) 最終支付贖金，是繼能源、石油／天然氣和公用事業 (43%) 及地方政府 (42%)  ，最有可能支付贖金的行業，平均贖金為 112,435 美元 (全球平均為 170,404 美元)。不過即使教育機構繳付贖金，平均只能復原約三分之二 (68%) 的數據，只有 11% 受訪機構能恢復所有數據。

至於未曾遭受勒索軟件攻擊的機構中 (55%)，大部分受訪機構 (61%) 預計將來會成為攻擊目標，主因是目前的網路攻擊非常先進 (46%) 及普遍 (42%)，令他們幾乎無法悻免。

Sophos 首席研究科學家 Chester Wisniewski 表示，由於教育行業在 IT 和網路安全的預算有時較為緊張，而 IT 團隊亦礙於人手不足，往往局限於有限資源及工具去保護過時的基礎建設，加上用戶各種高風險行為，如下載盜版軟件，令網絡安全風險逐年上升。而疫情爆發，教育界需要在短時間內轉換至虛擬學習環境。然而，教育機構則欠缺時間關注安全問題，亦未能及時對所有首次使用遠距學習的用戶提供基礎網路安全培訓，令教育行業於網絡安全則變得更脆弱，因而令黑客承機發動網絡攻擊，令受害機構需花費巨額費用重建 IT 基礎架構。

Chester Wisniewski建議，IT 團隊應集中資源於三大範疇，包括：建立能抵擋網絡威脅的強大網絡安全系統、為用戶提供網絡安全培訓，及盡可能採用更具彈性的基礎建設。