AI & Security Nieuws – 10 December 2025

By Djimit een overzicht voor AI cloud- en security professionals

1. “The Year AI Became Operational: Best of 2025 Report” laat zien waar koplopers echt in investeren

Titel The Year AI Became Operational: Best of 2025 Report from Info-Tech Research Group Reveals How IT Leaders Embedded Intelligence Across the Enterprise

• Bron Info-Tech Research Group / PR Newswire 
• Datum bron 10 december 2025
• Samenvatting (praktische implicaties)
  • Info-Tech ziet 2025 als het jaar waarin AI van experiment naar operationeel kernonderdeel van IT is verschoven, dwars door strategie, operatie en service delivery heen.
  • De snelst vooruitgaande organisaties bleken niet degenen met de “coolste” copilots, maar degenen die zwaar investeerden in data­kwaliteit, enterprise-architectuur, operating models en governance. 
  • Belangrijkste remmende factoren: gefragmenteerde data, verouderde serviceprocessen, zwakke AI governance en een skills gap rond agentic AI. 
  • Top-resources waar CIO’s het meest naar grepen: AI-strategie en roadmap, agentic-AI-prototyping, data-strategie, data-kwaliteitsprogramma’s en AI-risicomanagement. 
  • Kernboodschap voor klanten: zonder stevig fundament in data, architectuur en governance blijft AI impactvol opschalen uit.
• Impact
  • Strategisch, governance & investeringskans
  • Ideaal conversatiepunt om klanten uit “tool-shopping” te trekken naar investeringen in data-platform, EA, AI-governance en operating model.
  • Goed haakje om eigen AI-roadmaps en best practices (AI-risk register, data-strategie, EA-targetplaat) te positioneren.
• Bron URL https://www.prnewswire.com/news-releases/the-year-ai-became-operational-best-of-2025-report-from-info-tech-research-group-reveals-how-it-leaders-embedded-intelligence-across-the-enterprise-302638376.html 

2. Microsoft: “Actioning agentic AI” na Ignite 2025 – concreet bouwpad voor enterprise agents

Titel Actioning agentic AI: 5 ways to build with news from Microsoft Ignite 2025

• Bron Microsoft Azure Blog 
• Datum bron 10 december 2025
• Samenvatting (praktische implicaties)
  • Blog vat de belangrijkste Ignite-aankondigingen rond agentic AI samen en vertaalt ze naar 5 concrete bouwrichtingen voor organisaties op Azure. 
  • Focuspunten zijn onder andere:
    • gebruik van Azure AI Foundry en Gemini/Claude voor enterprise-agents,
    • integratie met Fabric/Fabric IQ voor data-gedreven agents,
    • Azure HorizonDB en nieuwe AI-hardware als onderlaag voor schaalbare workloads,
    • Azure AI Agents en Copilot-extensies als standaardpatroon voor agentic workflows. 
  • Microsoft positioneert agentic AI als next step bovenop “gewone” copilots: agents die taken plannen, uitvoeren en orkestreren op basis van bedrijfsdata en API’s.
• Impact
  • Technisch en strategisch, investeringskans
  • Relevante conversatie-starter met Azure-klanten over:
    • migratie van losse copilots naar een agent-architectuur,
    • rol van Fabric / data-mesh als bron voor agents,
    • need voor Zero Trust en API-security rond agentic uitvoer.
  • Geeft directe kapstok om een Azure-AI-reference architecture en landing zone voor agents te bespreken.
• Bron URL https://azure.microsoft.com/en-us/blog/actioning-agentic-ai-5-ways-to-build-with-news-from-microsoft-ignite-2025/ 

3. S&P Global en Google Cloud: multi-year deal rond agentic AI en BigQuery-datalaag

Titel S&P Global Advances AI-Powered Enterprise Transformation Through Strategic Partnership with Google Cloud

• Bron S&P Global persbericht 
• Datum bron 10 december 2025
• Samenvatting (praktische implicaties)
  • S&P Global kondigt een meerjarige strategische samenwerking met Google Cloud aan om AI-gedreven transformatie en agentic innovatie te versnellen. 
  • Kern van de deal: alle propriëtaire S&P-data worden geconsolideerd op BigQuery als “data-to-AI” platform, inclusief BigQuery Data Sharing voor snellere distributie naar klanten. 
  • S&P bouwt verder op Gemini Enterprise met een Data Retrieval Agent zodat klanten via agents direct op S&P-data kunnen zoeken en handelen. 
  • Interne workforce krijgt agentic tooling om productiviteit en workflow-automatisering te verhogen, met Gemini als basis. 
  • Deal bevestigt ook S&P’s multi-cloudstrategie, waarbij Google Cloud een strategische rol krijgt in de financiële sector. 
• Impact
  • Strategisch, investeringskans en architectuur-precedent
  • Sterke case om met financiële en data-intensieve klanten te praten over:
    • consolidatie van data op een AI-ready platform,
    • “data as a service” plus agents bovenop referentiedata,
    • multi-cloud plus data-residency en compliance rond BigQuery.
  • Ook goed haakje om contractuele en juridische implicaties (CLOUD Act, data-export) te bespreken bij vergelijkbare cloudkeuzes.
• Bron URL https://press.spglobal.com/2025-12-10-S-P-Global-Advances-AI-Powered-Enterprise-Transformation-Through-Strategic-Partnership-with-Google-Cloud 

4. BNY integreert Google Gemini in “Eliza” en zet vol in op AI-agents

Titel BNY partners with Google Cloud on AI agents

• Bron eMarketer 
• Datum bron 10 december 2025
• Samenvatting (praktische implicaties)
  • BNY gaat Google Gemini Enterprise integreren in “Eliza”, het interne AI-platform. Medewerkers kunnen hiermee AI-agents bouwen die direct werken op de grote interne financiële databronnen. 
  • Artikel citeert een survey: 70 procent van de bankiers verwacht dat agentic AI een grote of game-changing impact krijgt, maar slechts 18 procent is daadwerkelijk aan het uitrollen en 33 procent zit nog in pilots. 
  • BNY positioneert zich in de “bovenste laag” van banken die volop investeren in data-infrastructuur, talent en R&D, in plaats van enkel SaaS-AI af te nemen. 
  • Het stuk schetst drie strata in de bancaire sector: koplopers met zware AI-investeringen, volgers met beperkte in-house ontwikkeling en achterblijvers die nog geen schaalbare AI-usecases hebben. 
• Impact
  • Strategisch, investeringskans & sector-benchmarking
  • Uitstekend conversatiepunt voor gesprekken met banken en financiële instellingen:
    • urgentie om van pilots naar productie-agents te gaan,
    • noodzaak van een stevig data-platform plus AI-talent,
    • positionering van de klant in de genoemde strata.
• Bron URL https://www.emarketer.com/content/bny-google-cloud-ai-agents-bank-tech 

5. Eerste ISO/IEC 5259-3 certificering voor AI data-kwaliteit – nieuwe lat voor AI-governance

Titel SGS Issues World’s First ISO/IEC 5259-3 Certification for AI Data Quality Management

• Bron The AI Journal / Cision PR Newswire 
• Datum bron 10 december 2025
• Samenvatting (praktische implicaties)
  • SGS heeft het eerste ISO/IEC 5259-3:2024 certificaat voor AI data-kwaliteitsmanagement uitgereikt aan AI Clearing, naast ISO/IEC 42001, 27001, 9001 en 45001. 
  • ISO/IEC 5259-3 beschrijft eisen voor een data-kwaliteitsmanagementsysteem voor analytics en ML inclusief traceerbaarheid, auditability en continue verbetering van datakwaliteit. 
  • De standaard is sector-agnostisch en schaalbaar voor organisaties van elke omvang en wordt gepositioneerd als complementair aan ISO/IEC 42001 voor AI-management. 
  • De audit focuste onder meer op data-acquisitie, labeling, data-kwaliteitsmetrics, traceerbaarheid en integratie van data-kwaliteit in de ML-development lifecycle. 
  • SGS positioneert dit als onderdeel van een breder “Digital Trust” portfolio rond AI-assurance. 
• Impact
  • Compliance-risico en governance, wereldwijd, alle sectoren
  • Dit is een sterk signaal dat ISO-normering rond AI en data-kwaliteit volwassen wordt.
  • In klantgesprekken kun je dit gebruiken als:
    • framing voor toekomstige verwachting van auditors en toezichthouders,
    • aanleiding om eigen data-governance, lineage, labeling en monitoring tegen ISO/IEC 5259-3 en 42001 te spiegelen,
    • business-case voor een AI-controls framework plus AI-BoM (bill of materials).
• Bron URL https://aijourn.com/sgs-issues-worlds-first-iso-iec-5259-3-certification-for-ai-data-quality-management/ 

6. OECD: “Harnessing AI in Social Security” – blauwdruk voor AI in publieke dienstverlening

Titel Harnessing Artificial Intelligence in Social Security: Use Cases, Governance and Workforce Readiness

• Bron OECD Digital Government Studies 
• Datum bron 10 december 2025
• Samenvatting (praktische implicaties)
  • Rapport beschrijft concrete AI-usecases in de sociale zekerheid in meerdere EU-landen, onder andere voor geautomatiseerde eligibility-checks, documentverwerking en categorisatie van ongestructureerde data. 
  • AI wordt gepositioneerd als middel om toegang tot uitkeringen te verbeteren en administratieve lasten voor burgers en ambtenaren te verlagen, mits ingebed in een bredere digitale strategie. 
  • OECD verbindt de usecases expliciet aan het eigen Framework for Trustworthy AI in Government, met drie pijlers: enablers, guardrails en engagement. 
  • Het rapport benadrukt governance-risico’s als datamisbruik, gebrek aan transparantie, bias en structurele ongelijkheid en koppelt die aan vereisten rond data-interoperabiliteit, infrastructuur en AI-skills in de publieke sector. 
  • Gaat gepaard met een volledige PDF-studie en online hoofdstukken, gericht op beleidsmakers en uitvoeringsorganisaties. 
• Impact
  • Compliance en governance, focus EU-sociale zekerheid en bredere publieke sector
  • Relevante conversatie-basis met overheidsklanten over:
    • hoe AI-usecases in sociale zekerheid eruitzien binnen de EU-normatieve kaders,
    • noodzaak van een AI-governancekader dat expliciet publieke waarden en grondrechten adresseert,
    • koppeling met EU AI Act hoog-risico systemen in sociale zekerheid.
• Bron URL HTML overzicht: https://www.oecd.org/en/publications/harnessing-artificial-intelligence-in-social-security_b52405c1-en.html  Volledig rapport (PDF): https://www.oecd.org/content/dam/oecd/en/publications/reports/2025/12/harnessing-artificial-intelligence-in-social-security_d03136ef/b52405c1-en.pdf 

7. Nederlandse Orde van Advocaten: AI-richtlijn bevestigt eindverantwoordelijkheid advocaat

Titel AI-richtlijn: advocaat blijft eindverantwoordelijk

• Bron Advocatenblad (NOvA) 
• Datum bron 10 december 2025
• Samenvatting (praktische implicaties)
  • De NOvA publiceert aanbevelingen voor het gebruik van AI door advocaten en kantoren en benadrukt expliciet dat de advocaat eindverantwoordelijk blijft, ook als AI-tools worden gebruikt. 
  • AI wordt erkend als waardevol hulpmiddel, maar de klassieke advocatuurlijke kernwaarden zoals onafhankelijkheid, vertrouwelijkheid en integriteit moeten onverminderd worden geborgd. 
  • De richtlijn is ingebed in een bredere context van digitalisering, innovatie, privacy en rechtsbijstand, en suggereert de noodzaak van kantoorbreed AI-beleid. 
  • Hoewel het om aanbevelingen gaat, ligt het in de lijn der verwachting dat tuchtrecht en civiele aansprakelijkheid hiernaar zullen verwijzen bij incidenten met AI-gebruik.
• Impact
  • Compliance-risico, Nederland, juridische sector
  • Direct bruikbaar voor gesprekken met:
    • advocaten, notarissen en legal-afdelingen over AI-beleid,
    • andere gereguleerde beroepen (artsen, accountants) die soortgelijke kaders kunnen verwachten.
  • Praktisch haakje om AI-usage policies, logging en explainability in te richten voor juridische workflows.
• Bron URL https://www.advocatenblad.nl/2025/12/10/ai-richtlijn-advocaat-blijft-eindverantwoordelijk/ 

8. Meer dan 100 Britse politici eisen strenge AI-regulering

Titel Parliamentarians call for AI regulation

• Bron CARE (UK-based public policy organisatie) 
• Datum bron 10 december 2025
• Samenvatting (praktische implicaties)
  • Meer dan honderd parlementariërs uit Westminster en de gedecentraliseerde parlementen in Schotland, Wales en Noord-Ierland roepen de Britse regering op tot “sterke regulering” van AI. 
  • De campagne, aangejaagd door NGO Control AI, bekritiseert de “voorzichtige” aanpak tot nu toe en pleit voor verplichte standaarden binnen één tot twee jaar voor de meest krachtige AI-modellen. 
  • In lijn met het Labour-verkiezingsprogramma wordt aangedrongen op bindende regels voor een klein aantal frontier-aanbieders, maar concrete wetgeving ontbreekt nog. 
  • Parlementariërs en publieke figuren (waaronder een voormalig defensieminister en een bisschop) waarschuwen voor veiligheidsrisico’s en pleiten voor een internationale overeenkomst om de ontwikkeling van “superintelligence” tijdelijk te beperken. 
  • Het stuk bevat ook kritische quotes van Google DeepMind over het gevaar van een “race to the bottom” zonder rem in AI-ontwikkeling. 
• Impact
  • Regulatoire druk, Verenigd Koninkrijk, cross-sector
  • Hoewel dit nog geen wet is, verhoogt het de politieke druk richting een strengere, bindende AI-regulering in het VK, naast EU AI Act en VS-kaders.
  • Voor klanten met activiteiten in het VK is dit een goed gespreksonderwerp om:
    • aan te geven dat “wachten tot er wetgeving is” risicovol wordt,
    • eigen governance alvast te alignen op strengere, model-specifieke regels voor frontier-AI.
• Bron URL https://care.org.uk/news/2025/12/parliamentarians-call-for-ai-regulation 

Insight of the Day

Agentic AI in de bankensector: grote verwachtingen, weinig productie

Uit de BNY–Google Cloud analyse blijkt dat ongeveer 70 procent van de bankiers agentic AI ziet als een “significante of game-changing” ontwikkeling, terwijl slechts 18 procent van de banken actief agentic AI uitrolt en 33 procent nog in pilots zit. 

Vandaag (10 december 2025) zijn er weinig volledig nieuwe meldingen, maar er lopen wel een paar actuele high‑impact issues door die relevant zijn voor dagelijkse operatie en patch‑prioritering.[1][2][3][4]

Patch Tuesday en zero-days

• Microsoft december Patch Tuesday: 57 vulnerabilities gefixt, met drie zero‑days, waaronder één actief misbruikt privilege‑escalatielek in Windows Cloud Files Mini Filter Driver (CVE-2025-62221, lokaal to SYSTEM).[3][4][1]
• De zero‑days zitten in diverse Windows‑componenten en mogelijk Office/Edge, waardoor reguliere werkstations en servers breed geraakt worden; updates worden via normale kanalen (WSUS/Intune) uitgerold.[4][1][3]

Fortinet kritieke auth bypass

• Fortinet meldt twee kritieke authentication bypass‑kwetsbaarheden in FortiOS, FortiProxy, FortiSwitchManager en FortiWeb (CVE-2025-59718, CVE-2025-59719), die ongeauthenticeerde toegang via o.a. gemanipuleerde SAML‑berichten en vervalste HTTP(S)‑requests mogelijk maken.[2]
• NCSC benadrukt dat dit kan leiden tot toegang tot gevoelige API‑data en andere netwerkresources; patchen en het herzien van SSO/SAML‑exposure en SSL‑VPN‑sessies is dringend.[2]

React / React2Shell en Cloudflare-impact

• Een kritieke RCE‑kwetsbaarheid in React Server Components (CVE-2025-55182, “React2Shell”, CVSS 10,0) maakt remote code execution mogelijk via speciaal geprepareerde HTTP‑requests tegen servers die deze componenten gebruiken.[5][6]
• Cloudflare koppelde een grote storing aan mitigaties voor dit lek, en Shadowserver zag eerder al ruim 77.000 kwetsbare IP‑adressen op internet, wat wijst op substantiële aanvalssurface voor web- en SaaS‑omgevingen.[6][7]

Array Networks SSL VPN en APT-misbruik

• Een command‑injectie in Array Networks AG/SSL VPN‑gateways (DesktopDirect, CVE-2025-66644) wordt sinds augustus actief benut voor het plaatsen van webshells; CISA heeft hier recent apart voor gewaarschuwd.[8][4]
• De kwetsbaarheid maakt remote command execution op de gateway mogelijk en wordt gezien in gerichte aanvallen tegen remote‑access‑omgevingen; patches bestaan sinds mei maar blijken vaak niet toegepast.[8][4]

Strategische aanbevelingen vandaag

• Prioriteer onmiddellijke patching/mitigatie voor: Microsoft december updates (incl. CVE-2025-62221), Fortinet‑auth bypass (CVE-2025-59718/59719), React2Shell (CVE-2025-55182) en Array VPN (CVE-2025-66644) op internet‑exposed systemen.[1][5][6][8][2]
• Correlateer actief op relevante MITRE‑tactieken: privilege escalation via lokale Windows‑exploits (b.v. T1068), webshell persistence op VPN/gateways (T1505), en SSO/SAML‑misbruik voor initial access of lateral movement (T1078/T1550), en valideer in SOC‑ en threat‑hunting‑playbooks.[4][1][8][2]

Bronnen
[1] Microsoft dicht aangevallen Windows-lek dat aanvaller SYSTEM … https://www.security.nl/posting/916568/Microsoft+dicht+aangevallen+Windows-lek+dat+aanvaller+SYSTEM-rechten+geeft
[2] Fortinet waarschuwt voor kritieke authenticatie bypass in meerdere … https://www.security.nl/posting/916612/Fortinet+waarschuwt+voor+kritieke+authenticatie+bypass+in+meerdere+producten
[3] News in the Security category – Bleeping Computer https://www.bleepingcomputer.com/news/security/
[4] Must Read – Security Affairs https://securityaffairs.com/must-read
[5] Kritiek React-lek paar uur na bekendmaking misbruikt bij aanvallen https://www.security.nl/posting/915955/’Kritiek+React-lek+paar+uur+na+bekendmaking+misbruikt+bij+aanvallen’
[6] grote storing veroorzaakt door aanpassing wegens React-lek https://www.security.nl/posting/916281/Cloudflare:+grote+storing+veroorzaakt+door+aanpassing+wegens+React-lek
[7] Tienduizenden ip-adressen kwetsbaar door React2Shell-lek https://www.security.nl/posting/916265/’Tienduizenden+ip-adressen+kwetsbaar+door+React2Shell-lek’
[8] VS meldt misbruik van beveiligingslek in Array Networks ssl vpn … https://www.security.nl/posting/916453/VS+meldt+misbruik+van+beveiligingslek+in+Array+Networks+ssl+vpn+gateways
[9] BleepingComputer https://www.bleepingcomputer.com
10 CISA ICS Advisories, Additional Alerts, Updates, and … https://www.waterisac.org/tlpclear-cisa-ics-advisories-additional-alerts-updates-and-bulletins-november-6-2025
[11] Muck Rack | For journalists and public relations https://muckrack.com/media-outlet/bleepingcomputer
[12] CISA Releases Advisory to Help Agencies Strengthen Cyber Defense https://www.executivegov.com/articles/cisa-advisory-cyber-defense-incident-response
13 CISA ICS Advisories, Additional Alerts, Updates, and … https://www.waterisac.org/tlpclear-cisa-ics-advisories-additional-alerts-updates-and-bulletins-november-20-2025
[14] CISA, NSA sound alarm on Brickstorm backdoor used by … https://industrialcyber.co/cisa/cisa-nsa-sound-alarm-on-brickstorm-backdoor-used-by-china-linked-actors-targeting-vmware-windows-systems/
[15] BleepingComputer (@BleepinComputer) / Posts / X https://x.com/BleepinComputer?lang=en
[16] [PDF] #StopRansomware: Akira Ransomware https://www.ic3.gov/CSA/2025/251113.pdf
[17] grote storing veroorzaakt door aanpassing wegens React-lek https://www.security.nl/posting/916281
[18] BleepingComputer on X https://x.com/BleepinComputer/status/1988317245395575254
[19] CISA Cyber (@CISACyber) / Posts / X https://x.com/CISACyber
[20] BleepingComputer https://x.com/BleepinComputer/status/1975564916389298645