Wij zien in onze dagelijkse praktijk een duidelijke toename van incidenten richting het einde van het jaar. Waar veel organisaties de drukte van de feestdagen ingaan met een gevoel van rust, zien wij juist een groeiend aantal pogingen tot misbruik, verdachte inlogactiviteiten en gerichte aanvallen. Het patroon is onmiskenbaar: naarmate december vordert, neemt de agressiviteit van aanvallers toe en worden identiteitsaanvallen verfijnder en frequenter.
December is voor veel organisaties een feestmaand vol gezelligheid en vakantiedagen. Voor cybercriminelen is het iets anders: een uitgelezen moment om toe te slaan. Terwijl kantoren leeg raken en IT-teams op minimale bezetting draaien, blijven aanvallers actief. Juist dan. Organisaties die hun beveiligingsbasis, en dan met name hun identiteitsbeveiliging, niet op orde hebben, lopen in deze periode aantoonbaar meer risico.
Een kerstnacht die anders had kunnen eindigen
Een paar jaar geleden, in de nacht van 23 op 24 december, werd een middelgrote Nederlandse organisatie abrupt geconfronteerd met een ransomware-aanval. Medewerkers waren met kerstverlof, het kantoor was gesloten en alleen de systemen draaiden door. Niemand keek mee. Totdat printers begonnen te ratelen en losgeldberichten verschenen op schermen die eigenlijk niemand meer zou zien. Wat volgde was complete stilstand. Servers waren versleuteld, kritische applicaties onbereikbaar en back-ups bleken onbruikbaar. De organisatie begon de kerstperiode niet met rust, maar met crisisoverleg.
De oorzaak was geen geavanceerde hack of onbekende kwetsbaarheid. De aanval begon bij een beheeraccount dat uitsluitend was beveiligd met een wachtwoord. Er was geen MFA, geen contextuele controle, geen detectie op afwijkend gedrag. Toen aanvallers eenmaal binnen waren, konden zij ongestoord rechten uitbreiden, lateraal bewegen en uiteindelijk het volledige IT-landschap ontregelen. De aanval werd pas zichtbaar toen de schade al maximaal was.
De naam van deze organisatie blijft bewust onvermeld. Maar het patroon is herkenbaar. En belangrijker:
het was te voorkomen geweest.
Waarom juist de kerstdagen zo aantrekkelijk zijn
Cybercriminelen kiezen hun moment zorgvuldig. De kerstdagen bieden precies de omstandigheden waar zij op wachten. De bezetting op IT- en security-afdelingen is minimaal. Monitoring loopt door, maar analyse en escalatie verlopen trager. Afwijkingen worden later gezien of pas opgepakt wanneer iedereen weer aan het werk is. De alertheid bij medewerkers is laag. Het jaar is voorbij, de focus ligt elders. In die context wordt sneller vertrouwd, minder gecontroleerd en vaker aangenomen dat iets wel klopt.
Daarbovenop komt een golf aan phishingcampagnes die specifiek inspelen op kerst: pakketbezorgingen, cadeaubonnen, eindejaarsafrekeningen en spoedverzoeken “nog vóór het nieuwe jaar”. In deze periode zien wij een duidelijke toename van identity-gerelateerde aanvallen, vooral buiten kantooruren.
Identiteitsbeveiliging als achilleshiel
Het merendeel van de succesvolle cyberaanvallen begint niet met malware, maar met misbruik van accounts. Eén gecompromitteerde identiteit is vaak voldoende om een complete omgeving open te breken. Identiteitsbeveiliging is daarmee de eerste verdedigingslinie, maar in veel organisaties ook de zwakste schakel. Alleen vertrouwen op een wachtwoord, zonder MFA, zonder context en zonder gedragsanalyse, is simpelweg niet meer toereikend.
Identiteit draait niet alleen om wie iemand is, maar ook om hoe, waar en wanneer iemand zich gedraagt. Een inlog midden in de nacht, vanaf een afwijkende locatie, met ongebruikelijke rechten hoort nooit als normaal te worden beschouwd. Toch zien wij dit in december opvallend vaak ongemerkt gebeuren.
Het tijdperk van alleen een wachtwoord is voorbij. Organisaties die dat nog niet hebben doorgevoerd, lopen juist tijdens de kerstdagen het grootste risico.
Voorbereiding is geen luxe
De organisaties die rond kerst in de problemen komen, laten vaak hetzelfde beeld zien. Monitoring staat op een laag pitje. Toegangsrechten zijn te ruim. Identity-structuren zijn historisch gegroeid, maar nooit echt opgeschoond. Incidentresponse bestaat vooral op papier. Maar de kerstdagen zijn geen theoretische oefening. Dit is het moment waarop aanvallers toeslaan. Voorbereid zijn betekent niet dat je alles voorkomt of kunt voorkomen. Het betekent dat je afwijkingen ziet voordat ze escaleren. Dat je automatisch kunt ingrijpen als gedrag afwijkt. En dat duidelijk is wie handelt wanneer het misgaat, ook op Eerste Kerstdag om drie uur ’s nachts.
Conclusie
De kerstdagen zijn geen pauze voor cyberdreiging. Ze zijn het moment waarop aanvallers hun kans grijpen. Niet omdat technologie faalt, maar omdat identiteiten te veel vertrouwen krijgen op het moment dat niemand kijkt. Wij zien dit ieder jaar opnieuw. En ieder jaar geldt dezelfde les: organisaties die hun identiteitsbeveiliging niet op orde hebben, lopen juist in deze periode serieus risico.
