🎅 Santa is real. En hij heeft admin rights.

Eind december. Een periode waarin alles net iets trager beweegt.

18 december 2025 in

Kaap Hoorn ICT Security B.V., Kasper de Waard

Het is eind december. De agenda’s lopen leeg, out-of-office-meldingen verschijnen automatisch en de dagelijkse stroom aan tickets en meldingen neemt af. Systemen blijven draaien zoals altijd, maar de aandacht ervoor verschuift. Niet omdat iemand onzorgvuldig is, maar omdat dit is hoe organisaties functioneren in deze periode van het jaar. Mensen ronden af, dragen over en kijken vooruit naar wat komt. Security staat zelden bovenaan dat lijstje.

Wanneer aandacht verschuift

In die rust verandert de technische omgeving nauwelijks, maar de menselijke factor wel. Monitoring blijft actief, maar respons vertraagt. Beslissingen worden uitgesteld tot na de feestdagen. Kleine afwijkingen krijgen minder urgentie. En precies in die omstandigheden ontstaat ruimte voor risico’s die al langer bestaan, maar normaal net genoeg aandacht kregen om geen probleem te worden.

Het begon met iets tijdelijks

Het begon ooit met een simpele vraag. Een leverancier kon niet verder zonder extra rechten. Er moest iets ingesteld worden, een fout worden opgelost, een koppeling afgemaakt. Er was tijdsdruk, het project liep al uit en iedereen wilde door. Iemand gaf tijdelijk adminrechten, met de duidelijke afspraak dat dit na afloop zou worden teruggedraaid. Het probleem werd opgelost, de omgeving bleef stabiel en de aandacht verschoof naar het volgende onderwerp. Het moment om de rechten weer in te trekken kwam niet meer terug.

Wat blijft bestaan, valt niet meer op

Maanden later bestaat dat account nog steeds. Het draait probleemloos mee in de omgeving, heeft toegang tot onderdelen die ooit nodig waren en inmiddels niemand meer actief beoordeelt. Er zijn geen fouten, geen alerts, geen directe signalen dat er iets mis is. Alles werkt. En juist omdat alles werkt, is er geen reden om vragen te stellen.

Niet veel later gebeurt iets soortgelijks. Iemand loopt vast op een beperking in zijn rol en heeft voor één handeling extra rechten nodig. Het wordt tijdelijk geregeld, met de beste intenties. Ook hier is het plan om het later terug te draaien. Maar ook hier verdwijnt die intentie langzaam naar de achtergrond. De uitzondering wordt normaal, niet door nalatigheid, maar door routine.

Van uitzondering naar structureel risico

Zo ontstaan dit soort situaties bijna altijd. Niet door kwaadwillend gedrag, maar door gemak, vertrouwen en herhaling. Kleine beslissingen die in hun context logisch zijn, maar die samen een structureel risico vormen. Wat tijdelijk was bedoeld, wordt onderdeel van de vaste inrichting. En hoe langer het zo blijft, hoe lastiger het wordt om het nog ter discussie te stellen. Want wat gebeurt er als je het weghaalt? Wat breekt er dan?

Hoe incidenten echt beginnen

Voor een aanvaller is dit precies het soort toegang dat telt. De meeste incidenten beginnen niet met geavanceerde exploits of zero-days, maar met een bestaand account dat meer rechten heeft dan nodig. Zodra zo’n account wordt misbruikt, maakt het nauwelijks uit hoe goed de rest van de beveiliging is ingericht. De vraag is dan niet of er detectie plaatsvindt, maar hoe ver iemand al is voordat er wordt ingegrepen.

Waarom december zo aantrekkelijk is

Rond de feestdagen wordt dat risico groter. Niet omdat systemen minder veilig zijn, maar omdat mensen minder beschikbaar zijn. Minder ogen, minder context, minder snelheid. Een aanvaller hoeft geen lawaai te maken, geen ransomware te starten of zichtbare schade aan te richten. Toegang is genoeg. Aanwezig blijven is genoeg. Wachten tot januari is genoeg.

Oude beslissingen, nieuwe schade

De meeste organisaties worden niet geraakt door iets wat ze niet konden voorzien, maar door iets wat ze al lang kenden. Een account dat ooit “even handig” was. Een uitzondering die nooit is teruggedraaid. Een privilege dat bleef bestaan omdat het geen problemen veroorzaakte. In die onopvallende overgang van tijdelijk naar permanent ontstaat het echte risico.

Het nieuwe jaar begint met opruimen

Dit is geen pleidooi voor paniek of rigide processen. Het is een pleidooi voor aandacht. Least privilege is geen theoretisch principe en geen compliance-oefening, maar een vorm van schadebeperking. Het bepaalt niet of er iets misgaat, maar hoe groot de impact is wanneer dat gebeurt.

Wie het nieuwe jaar veilig wil beginnen, hoeft daarvoor geen nieuwe tooling te kopen of grote projecten te starten. Het begint met terugkijken. Met het stellen van vragen die al te lang niet zijn gesteld. Met het durven terugdraaien van rechten die ooit logisch waren, maar dat nu niet meer zijn.

Kaap Hoorn ICT Security B.V., Kasper de Waard 18 december 2025

Deel deze post

Labels

Archief

Whitepapers

Wilt u weten of uw bedrijf goed beveiligd is tegen cyberaanvallen? Download gratis onze whitepapers.

Bestendige beveiliging tegen cyberaanvallen

Doordat er dagelijks nieuwe kwetsbaarheden worden ontdekt in applicaties, besturingssystemen en databases, kan de kwaliteit van de netwerkbeveiliging veranderen. Steeds meer organisaties vragen zich dan ook af wat de actuele status van hun beveiliging is en of ze kwetsbaar zijn voor interne en externe aanvallen.

Whitepaper-Secity-Bestendige-beveiliging-tegen-cyberaanvallen.pdf

Alles wat u moet weten over Security Headers

Deze whitepaper gaat in het bijzonder over de Security Headers. Deze spelen namelijk een rol bij het beveiligen van uw website. Zij zijn belangrijk om zowel u als uw website gebruiker te beschermen tegen cybercriminelen.

Case Studies

Wilt u weten of uw bedrijf bestand is tegen ransomware en hoe u aanvallen voorkomt? Download onze gratis case studies.

Cyberaanval in de praktijk

In 2023 meldde 45% van de bedrijven wereldwijd slachtoffer te zijn geweest van een ransomware-aanval. Omdat ransomware zich steeds verder ontwikkelt, kan zelfs de eenvoudigste vorm ervan veel tijd en geld kosten.

Ransomware-Case-Study-180924.pdf

Brochures

Onze brochures zijn hier gratis te bekijken en te downloaden.

Microsoft 365

Veel bedrijven die de overstap maken naar Microsoft 365 beseffen niet dat veel van de beveiligingsmaatregelen, die in hun lokale Exchange-omgeving werden toegepast, niet standaard actief zijn in de Microsoft-omgeving. Ons onderzoek naar Microsoft 365 focust op de aanbevolen beveiligingsinstellingen die organisaties zouden moeten implementeren om hun Office 365-tenant veilig te configureren en te gebruiken.

Pentest

Een pentest richt zich doorgaans op één ofmeerdere onderdelen van uw ITinfrastructuur. Pentests zijn eigenlijk een soortsteekproeven. Onze analyse houdt daarechter niet op.

Security Awareness

Toegang krijgen tot uw netwerk gebeurtvaak via verschillende vormen van socialengineering-aanvallen. Phishing maakt inde basis gebruik van angst, urgentie, ofaanbiedingen die te mooi lijken om waarte zijn. Vooral angst en urgentie blijkenhierbij het meest effectief.

Nulmeting

Zorg voor een veilige digitale omgeving met de Critcal Security Controls. Deze beproefde set van 18 essentiele beveiligingsmaatregelen is ontworpen om organisaties te beschermen tegen de meest voorkomende cyberbedreigingen. Van het beheren van gebruikersaccounts tot het monitoren van netwerkverkeer.

Roadmap

Of u zich nu wilt beschermen tegengeautomatiseerde aanvallen, gerichte aanvallen ofaanvallen van gelegenheid, onze roadmap isontworpen voor bedrijven die hun cybersecurity opeen volwassen manier willen aanpakken. Het biedtsnel inzicht in zowel de interne als externe attacksurface van de organisatie en geeft een actueelbeeld van de huidige stand van zaken.

NIS2

De Europese Unie heeft de NIS2-

richtlijn opgesteld om te voorkomen

dat cybersecurityincidenten leiden tot

verstoringen van essentiële en

belangrijke diensten. Zulke incidenten

kunnen grote maatschappelijke

ontwrichting, economische schade en

ernstige hinder voor Europese burgers

tot gevolg hebben.