jan-karel.nl

Premium bibliotheek

Alle templates, playbooks, threat briefings en essays voor security-bewuste organisaties. Lees de openingsparagraaf gratis; de rest is voor leden.

27 posts

Uitgelicht

8 min

Het CrowdStrike-weekend en wat het je leerde over vertrouwen

Op vrijdag 19 juli 2024 stortten 8,5 miljoen Windows-machines tegelijk in. Het was geen aanval. Het was een update. En het is precies waar de hele moderne IT op rust.

crowdstrikesupply-chainessay
9 min

Snowflake en de deur die je zelf open liet

Hoe in het voorjaar van 2024 honderd grote bedrijven werden leeggehaald via een dienst die ze elke dag gebruikten — en waarom de leverancier technisch correct kon zeggen dat het niet zijn schuld was.

snowflakebreachshared-responsibility
9 min

Het cyber-verzekering sprookje

Wat een cyber-verzekering doet en niet doet, waarom hij steeds duurder wordt en moeilijker te krijgen, en de pijnlijke vraag of je hem überhaupt moet willen.

cyber-insuranceriskessay

Templates & policies

Bekijk alle (4) →
3 min

Template: AI-Gebruiksbeleid voor MKB

AI-gebruiksbeleid (ChatGPT, Copilot, Gemini) voor MKB en ZZP — klaar om te implementeren, AI Act compliant.

aipolicycompliance
3 min

Procedure: Datalek meldplicht (AVG)

Complete datalek-procedure conform AVG met de 72-uur termijn, beslisboom en meldformulier.

avgdatalekprocedure
3 min

Template: ISO27001 Information Security Policy

Information Security Policy template conform ISO27001 Annex A, klaar om in te vullen voor MKB en ZZP.

iso27001templatecompliance
3 min

Template: AVG Verwerkersovereenkomst

Kant-en-klare verwerkersovereenkomst conform AVG art. 28, in begrijpelijk Nederlands met invulvelden.

avgtemplatecompliance

Runbooks & playbooks

Pro 3 min

Playbook: Ransomware Recovery

Praktische ransomware recovery met scripts, beslismomenten en checklist voor de eerste 72 uur.

ransomwareplaybookrecovery
3 min

Runbook: NIS2 Incident Response

Stap-voor-stap incident response runbook voor organisaties onder NIS2, met meldtermijnen en templates.

nis2incidentrunbook

Threat briefings

3 min

Threat Briefing — april 2026

Maandelijkse threat briefing: actuele CVE's, ransomware-trends, NIS2 updates en concrete acties voor MKB.

threat-intelbriefingmonthly

Essays

Bekijk alle (20) →
10 min

"We worden gepentest dus we zijn veilig"

Waarom de jaarlijkse pentest een momentopname is zonder voorspellende waarde, hoe de industrie junior testers op template-rapporten zet, en wat een goede pentest wel is.

pentestsecurityessay
9 min

Zero-day als marketingterm (en waarom bijna alles een one-day is)

Hoe de term "zero-day" werd gekaapt door marketing, waarom de meeste "zero-day attacks" in werkelijkheid n-day attacks zijn, en wie er verdient aan de verwarring.

zero-daymarketingvulnerabilities
10 min

Security theater en de luchthaven

Waarom TSA-beveiliging en security awareness training hetzelfde probleem zijn, hoe beide decennia van ritueel hebben opgeleverd zonder de kernaanval te stoppen, en wat we daaruit leren.

security-theateranalogyessay
11 min

MOVEit en de deur die al open stond

Hoe Cl0p in 2023 in één weekend duizenden organisaties leeghaalde via een file-transfer tool die niemand ooit had geïnspecteerd — en waarom supply chain-aanvallen niet gaan weg.

moveitsupply-chainclop
11 min

De patch die je niet kunt toepassen

Over legacy systemen, industriële controllers die nooit rebooten, vendors die vijf jaar geleden failliet zijn gegaan, en wat je doet als 'gewoon patchen' geen optie is.

legacypatchingisolation
11 min

"We gebruiken AWS dus we zijn veilig"

Hoe 100 miljoen Capital One klanten werden leeggehaald door een ex-AWS medewerker met een SSRF-exploit, waarom de cloud geen security is, en wat je mensen niet willen horen.

cloudawscapital-one
11 min

Security awareness theater: waarom je mensen trainen in phishing niet werkt

Over de jaarlijkse verplichte training die iedereen wegklikt, de gotcha-simulaties die collega's intimideren, en waarom het onderzoek zegt dat je mensen niet traint om beveiligers te worden.

awarenesstrainingphishing
11 min

De insider die niemand zag aankomen (en meestal ook niet bestaat)

Waarom Hollywood je een verkeerd beeld geeft van insider threats, waarom de echte dreiging bijna altijd saai en slordig is, en wat offboarding met security te maken heeft.

insider-threatoffboardingessay
9 min

De logs die niemand leest, en waarom je ze toch nodig hebt

Over de absurditeit van terabytes aan logs die nooit worden bekeken, de schok van ontdekken dat ze er niet zijn, en hoe je een logging-strategie bouwt die mensen wel zullen gebruiken.

loggingmonitoringessay
8 min

MFA-vermoeidheid en de tiener uit Argentinië

Hoe een 18-jarige in september 2022 binnen 24 uur het hele Uber-imperium platlegde door een werknemer net zo lang te bellen tot die op 'goedkeuren' drukte.

ubermfasocial-engineering
9 min

Het cyber-verzekering sprookje

Wat een cyber-verzekering doet en niet doet, waarom hij steeds duurder wordt en moeilijker te krijgen, en de pijnlijke vraag of je hem überhaupt moet willen.

cyber-insuranceriskessay
9 min

Snowflake en de deur die je zelf open liet

Hoe in het voorjaar van 2024 honderd grote bedrijven werden leeggehaald via een dienst die ze elke dag gebruikten — en waarom de leverancier technisch correct kon zeggen dat het niet zijn schuld was.

snowflakebreachshared-responsibility
9 min

De vragenlijst die niets bewijst, maar drie weken duurt

Hoe een industrie van 200-vragenlijsten een illusie van controle heeft gecreëerd, en wat je in plaats daarvan moet doen als je echt wilt weten of je leverancier deugt.

vendor-risksupply-chainessay
8 min

Het CrowdStrike-weekend en wat het je leerde over vertrouwen

Op vrijdag 19 juli 2024 stortten 8,5 miljoen Windows-machines tegelijk in. Het was geen aanval. Het was een update. En het is precies waar de hele moderne IT op rust.

crowdstrikesupply-chainessay
8 min

NIS2: de realiteitscheck waar je consultant niet voor heeft betaald

Wat NIS2 echt vereist, wat consultants je verkopen, en het verschil tussen die twee dingen — uitgelegd zonder PowerPoint.

nis2complianceessay
7 min

LastPass en de leugen van de kluis

Hoe een wachtwoordmanager met 33 miljoen klanten in zes maanden alles is kwijtgeraakt waar zijn naam letterlijk over gaat — en wat dat over jouw vertrouwen in vendors zegt.

lastpassbreachvendor-trust
7 min

De middelmatige hacker en jouw onopvallende bedrijf

Waarom je je geen zorgen moet maken over Russische APT-groepen, en wel over de 14-jarige met een phishing-kit die hij op Discord heeft gekocht.

threat-modelingransomwareessay
6 min

Je back-up is een leugen die je leverancier verkocht

Negen op de tien organisaties weten niet of hun back-ups werken — en de meesten ontdekken het pas op de dag dat het ertoe doet.

backupransomwareessay
7 min

Compliance-theater: vijftig documenten, nul verdediging

Hoe een organisatie ISO27001 kan halen, NIS2 kan tekenen en intussen volledig wordt platgelegd door een 14-jarige met een phishing-kit.

complianceiso27001nis2
7 min

Je wachtwoord is dood. Niemand heeft het lef je dat te vertellen

Waarom wachtwoordrotatie, hoofdletters en speciale tekens nutteloze rituelen zijn — en wat je er vanmiddag aan kunt doen.

wachtwoordpasskeyssecurity