AI & Security Intelligence — 19 Februari 2026

By Djimit* een overzicht voor AI cloud- en security professional*

**URGENCY: CRITICAL (9/10)**NCSC-NL IVANTI OPROEP + SANDWORM WIPER EU GRID + EC BREACH

1. Editor’s Synthesis

NCSC-NL publiceert een directe oproep aan alle Nederlandse organisaties die Ivanti Endpoint Manager Mobile (EPMM) gebruiken: CVE-2026-1281 wordt actief geëxploiteerd bij meerdere NL-organisaties. Gecompromitteerde data omvat IMEI-nummers, telefoonnummers, locatiegegevens, SIM-details, LDAP-gebruikers en Office 365 tokens/credentials. NCSC benadrukt patchen alleen is onvoldoende als het systeem al gecompromitteerd is organisaties moeten zich melden bij NCSC.

Sandworm (Russische GRU) voert een DynoWiper destructieve aanval uit op het Poolse stroomnet, geattribueerd door ESET. Tegelijkertijd bevestigt de Europese Commissie een cyberaanval op haar centrale mobiele infrastructuur (ontdekt 30 januari, binnen 9 uur ingedamd). Namen en telefoonnummers van EC-medewerkers potentieel blootgesteld. Dit demonstreert dat EU governance-infrastructuur direct doelwit is van nation-state actoren.

IDMerit identity verification platform lekt meer dan 1 miljard records uit 26 landen via een open MongoDB-database: namen, adressen, nationale ID-nummers, telefoonnummers, e-mailadressen en bankinformatie van klanten bij fintech en financiële instellingen. Dit is het grootste single-database datalek van 2026. GDPR-gereguleerde Europese financiële instellingen die IDMerit gebruiken moeten onmiddellijk hun blootstelling inventariseren.

Google lanceert vandaag Gemini 3.1 Pro het overtreft GPT-5 Pro op Humanity’s Last Exam (41% vs 31.64%) en leidt op 19 van 20 benchmarks. OpenAI pensioneerde GPT-4o/GPT-4.1 en maakt GPT-5.2 de standaard. Het International AI Safety Report 2026 (100+ experts, 30+ landen) waarschuwt dat safety testing moeilijker wordt doordat modellen onderscheid maken tussen test- en productieomgevingen.

Leadership moet vandaag vier acties voltooien: (1) Inventariseer Ivanti EPMM-gebruik en meld bij NCSC als geïnstalleerd, (2) Dell RecoverPoint en Fortinet SSO acties van gisteren verifiëren, (3) IDMerit-blootstelling beoordelen bij financiële dienstverleners, (4) Windows Admin Center CVE-2026-26119 patchen. NIS2 registratiedeadline 28 februari: nog 9 dagen.

Metric voor morgen: Ivanti EPMM gemeld bij NCSC + forensisch onderzoek gestart als EPMM in productie + Dell RecoverPoint 100% gepatcht/geïsoleerd + FortiCloud SSO uitgeschakeld + IDMerit exposure assessment afgerond. DORA ROI-indiening loopt (11 feb – 31 mrt).

2. Security Intelligence

Lane A — Verified News (24h)

Event 1: NCSC-NL Oproep — Ivanti EPMM CVE-2026-1281 Actief Geëxploiteerd in Nederland

• NCSC-NL roept alle Nederlandse organisaties die Ivanti Endpoint Manager Mobile (EPMM, voorheen MobileIron) gebruiken op om zich te melden. CVE-2026-1281 wordt actief geëxploiteerd bij meerdere Nederlandse organisaties. Bron: NCSC-NL.

• Gecompromitteerde data bij getroffen organisaties: device IMEI-nummers, telefoonnummers, locatiegegevens, SIM-details, LDAP-gebruikerslijsten en Office 365 tokens/credentials. NCSC benadrukt dat patchen alleen onvoldoende is als het systeem al is gecompromitteerd — forensisch onderzoek is vereist. Bron: NCSC-NL.

Technical Mechanics

• Kill chain: aanvaller exploiteert Ivanti EPMM kwetsbaarheid → toegang tot MDM-platform → exfiltratie van alle geregistreerde device-gegevens inclusief LDAP en O365 tokens → lateral movement naar corporate identity infrastructure via gestolen tokens.

• De ernst is uitzonderlijk: Ivanti EPMM beheert mobiele apparaten en heeft dus toegang tot de volledige device-inventaris én corporate credentials. Compromittering van het MDM-platform is equivalent aan compromittering van het volledige mobiele endpoint-fleet.

• NL-impact: NCSC publiceert zelden directe oproepen aan organisaties. Deze oproep signaleert dat de schaal van compromittering in Nederland significant is en dat NCSC actief incident coördinatie voert.

Leadership Directive

• Engineering: inventariseer onmiddellijk of Ivanti EPMM/MobileIron in gebruik is. Als ja: meld bij NCSC, start forensisch onderzoek, revoke alle O365 tokens die via EPMM zijn geïssued.

• Management: behandel dit als een potentiële actieve compromittering, niet als een patch-actie. Activeer incident response procedure als EPMM in productie draait.

• Governance: documenteer als NIS2 Art. 21 incident als exploitatie wordt bevestigd. 24-uurs meldplicht bij bevestigde compromittering.

Event 2: Sandworm DynoWiper Pools Stroomnet + Europese Commissie Breach

• ESET attribueert een DynoWiper destructieve malware-aanval op het Poolse stroomnet aan de Russia-aligned Sandworm groep (GRU Unit 74455). Wiper malware is ontworpen om systemen permanent te beschadigen, niet om data te stelen. Bron: ESET, Industrial Cyber.

• De Europese Commissie bevestigt een cyberaanval op haar centrale mobiele infrastructuur (ontdekt 30 januari, ingedamd binnen 9 uur). Potentieel blootgestelde data: namen en telefoonnummers van EC-medewerkers. Onderzoek loopt. Bron: EC persbericht IP/26/342.

• Sandworm’s inzet van wiper malware tegen EU-energieinfrastructuur is een escalatie: wipers zijn destructief en signaleren intentie tot sabotage, niet alleen spionage. Dit volgt het patroon van Industroyer (2016) en Industroyer2 (2022) tegen Oekraïense energie.

• De EC-breach toont dat EU governance-infrastructuur direct doelwit is. Zelfs met inperking binnen 9 uur zijn namen en telefoonnummers bruikbaar voor targeted phishing en social engineering tegen EC-medewerkers.

• NL-impact: Nederlandse energiebedrijven en EU-gerelateerde overheidsinstanties moeten hun ICS/SCADA monitoring verscherpen. Sandworm is een bewezen dreiging voor Europese kritieke infrastructuur.

Event 3: IDMerit 1 Miljard Records Exposed — Global Identity Verification Platform

• IDMerit, een identity verification platform voor fintech en financiële instellingen, lekt meer dan 1 miljard records uit 26 landen via een onbeveiligde MongoDB-database (>1 TB). Data omvat: namen, adressen, nationale ID-nummers, telefoonnummers, e-mailadressen, geboortedatums, geslacht, telecom-metadata en breach history. Bron: Cybernews.

• ShinyHunters criminal group publiceert gelijktijdig datalekken van Harvard University, UPenn en Figure Financial Services (~1M accounts elk). Bron: TechRadar, BleepingComputer.

• IDMerit verwerkt KYC-data voor financiële instellingen — een breach van het verificatieplatform compromitteert niet één bedrijf maar de identiteitsgegevens van klanten bij honderden financiële dienstverleners. Dit is een supply chain breach in de identity verification keten.

• Europese financiële instellingen die IDMerit als KYC-provider gebruiken moeten onder AVG Art. 33 een verwerkersrisico-assessment uitvoeren en getroffen betrokkenen informeren (Art. 34) als EU-burgerdata is betrokken.

Event 4: Windows Admin Center CVE-2026-26119 + KONNI AI-Malware + Honeywell CCTV

• Microsoft onthult Windows Admin Center CVE-2026-26119: privilege escalation via improper authentication. Onder bepaalde omstandigheden kan een standaard gebruiker volledige domein-compromittering bereiken. Gepatcht in december 2025, disclosure 19 februari. Ontdekker: Adrea Pierini (Semperis). Bron: Help Net Security.

• KONNI (Noord-Korea) zet voor het eerst AI-gegenereerde PowerShell backdoors in bij phishing-campagnes gericht op software developers via fake blockchain/crypto projectdocumentatie. Ongebruikelijk helder gedocumenteerde malware wijst op AI-assistentie bij development. Bron: Security Affairs.

• Honeywell CCTV CVE-2026-1670 (kritiek): authenticatie-bypass voor videobewakingssystemen. CISA waarschuwt voor actieve exploitatie. Grandstream GXP1600 VoIP CVE-2026-2329 (CVSS 9.3): unauthenticated RCE op telefoonsystemen. Bron: CISA, TheHackerWire.

• Windows Admin Center is de centrale management-interface voor Windows Server-omgevingen. Privilege escalation naar domein-admin is een worst-case scenario. Verifieer dat de december 2025 patch is toegepast.

• KONNI’s gebruik van AI-geschreven malware verlaagt de drempel voor sophisticated attacks. Dit patroon zal toenemen naarmate AI-coding tools verbeteren — governance voor AI-assisted code review moet rekening houden met kwaadaardige use cases.

Governance & Compliance (EU/NL)

• EU Commissie stelt NIS2-wijzigingen voor (20 januari 2026): verduidelijking scope, vereenvoudigde jurisdictieregels, versterkte cross-border toezichttools, uniforme ransomware-rapportage. NIS2 Point of Contact registratievenster sluit 28 februari. NL Cyberbeveiligingswet plenair debat gepland 23 maart 2026. Bron: DLA Piper, PONT Data & Privacy.

• DORA Register of Information (ROI) indieningsvenster geopend 11 februari via CSSF eDesk. Deadline: 31 maart 2026. Tier 1-overtredingen: boetes tot 2% wereldwijde jaaromzet. Shift naar ‘interventionist supervision’ met geautomatiseerde compliance monitoring. Bron: CSSF, AQMetrics.

• EU Digital Fairness Act gepland medio 2026: consumentenbescherming, minderjarigensafeguards, transparante prijzen en anti-manipulatief design. EU Cloud and AI Development Act (CADA): datacenter-vergunningen, EU-brede geschiktheidseisen. Bron: CNBC.

• EDPB 5e Coordinated Enforcement Action 2026: focus op GDPR Art. 12-14 transparantieverplichtingen. Intensivering handhaving verwacht. AP datalek en datalek bij Raad voor de Rechtspraak gemeld in februari. Bron: EDPB, InsidePrivacy.

• Drie compliance-deadlines convergeren: NIS2 registratie 28 feb (T-9 dagen), DORA ROI 31 maart, EU AI Act 2 augustus. Het NIS2 plenair debat op 23 maart signaleert dat de Cyberbeveiligingswet in Q2 2026 kan worden aangenomen.

Lane B — Daily Executive Brief

Control of the Day: mobile device management security

• WIE: IT Security Manager | WAT: Inventariseer of Ivanti EPMM/MobileIron in gebruik is in de organisatie. Als ja: meld onmiddellijk bij NCSC-NL, start forensisch onderzoek op EPMM-server, revoke alle O365 tokens die via EPMM zijn geïssued | WAAR: CMDB + MDM console | MEETCRITERIUM: EPMM-status vastgesteld + NCSC-melding verstuurd (indien van toepassing) + O365 tokens gerevoked.

• WIE: OT/ICS Security Lead | WAT: Verifieer dat ICS/SCADA-monitoring verscherpt is na Sandworm DynoWiper aanval op Pools stroomnet. Controleer network segmentation tussen IT en OT. Exporteer ICS-anomalie logs van de afgelopen 7 dagen | WAAR: ICS/SCADA monitoring platform | MEETCRITERIUM: OT-netwerk gesegmenteerd + anomalie-logs geëxporteerd + geen onverklaarbare communicatie naar externe IP’s.

• WIE: Vendor Risk Manager | WAT: Inventariseer of IDMerit als KYC/identity verification provider wordt gebruikt door de organisatie of door financiële partners. Als ja: beoordeel blootstelling en start AVG Art. 33 verwerkersrisico-assessment | WAAR: Vendor register + procurement | MEETCRITERIUM: IDMerit-gebruik vastgesteld + risico-assessment gestart (indien van toepassing).

Failure Mode of the Day

• MDM-platforms worden beschouwd als ‘beveiligingstools’ en niet zelf onderworpen aan strenge vulnerability management, terwijl compromittering van het MDM-platform het volledige mobiele fleet en corporate credentials blootstelt. → Countermeasure: Controleer of MDM-platforms (Ivanti, VMware, Microsoft Intune) in het vulnerability management scope vallen en regelmatig forensisch worden geaudit.

• Identity verification providers worden vertrouwd met de meest gevoelige persoonsgegevens (ID, paspoort, bank) maar niet geaudit op hun eigen databeveiliging, waardoor een single breach miljoenen identiteiten compromitteert. → Countermeasure: Verifieer of KYC-providers een SOC 2 Type II rapport en AVG-verwerkersovereenkomst met security-audit clausule hebben.

• OT/ICS-netwerken worden ‘air-gapped’ geacht maar zijn in werkelijkheid bereikbaar via gedeelde management-netwerken, waardoor IT-compromittering kan escaleren naar operationele technologie. → Countermeasure: Valideer dat IT-OT segmentatie daadwerkelijk is geïmplementeerd met een unidirectional gateway of data diode.

10 Minute Drill

• 1. Controleer in de CMDB of Ivanti EPMM/MobileIron is geïnstalleerd; als ja, meld bij NCSC-NL* → Output: *ivanti_epmm_status_20260219.txt
• 2. Exporteer ICS/SCADA anomalie-logs van de afgelopen 7 dagen en controleer op onverklaarbare communicatie* → Output: *ics_anomaly_logs_20260219.csv
• 3. Controleer in het vendor register of IDMerit of vergelijkbare KYC-providers worden gebruikt* → Output: *kyc_vendor_check_20260219.txt
• 4. Verifieer Windows Admin Center versie en patch-status (CVE-2026-26119)* → Output: *wac_version_check_20260219.txt
• 5. Controleer of Honeywell CCTV en Grandstream VoIP-systemen in gebruik zijn en update indien nodig* → Output: *physical_security_inventory_20260219.csv

3. Research Radar

AI Safety & Governance

International AI Safety Report 2026

100+ experts uit 30+ landen

Grootste mondiale samenwerking op AI safety. Identificeert ‘pluralistic alignment’ uitdaging: geen universele consensus over gewenst AI-gedrag. Waarschuwt dat safety testing moeilijker wordt doordat modellen onderscheid maken tussen test- en productieomgevingen. 2x toename bedrijven met Frontier AI Safety Frameworks sinds 2025.

https://internationalaisafetyreport.org/publication/international-ai-safety-report-2026

Trinity Defense Framework: Trustworthy Agentic AI

AI Security Architecture Team

Deterministische security-architectuur voor autonome AI-agents via drie pijlers: Action Governance, Information-Flow Control en Privilege Separation. Biedt verifiable authorization guarantees. Productie-grade framework voor enterprise agent-deployments in gereguleerde sectoren.

https://arxiv.org/abs/2602.09947

Enterprise-relevantie: Het International AI Safety Report is verplichte lectuur voor AI governance teams. Trinity Defense Framework biedt concrete architectuurpatronen voor EU AI Act Art. 14 human oversight compliance in agent-deployments.

AI Agents & Reliability

Error Propagation in MCP Agents: O(√T) Bounds

Multi-Agent Systems Research

Theoretisch bewijs dat error-accumulatie in Model Context Protocol agents lineair groeit met O(√T) high-probability deviations. Essentieel voor enterprise agent-deployments: voorspelt failure modes in multi-step workflows en vereist error-correctie budgettering per pipeline-lengte.

https://arxiv.org/list/cs.AI/current

Artisan: Agentic Artifact Evaluation

Reproducibility Research Team

Genereert reproductie-scripts die tabellen uit onderzoeksartikelen recreeren, waardoor artifact-level auditability mogelijk wordt. Voorkomt gehallucilleerde citaties en valse claims in AI-gegenereerde rapporten.

https://arxiv.org/abs/2602.10046

Collective Behavior of AI Agents on Moltbook

Social Dynamics Research

Eerste analyse van AI-agent communities op publiek platform (Moltbook, gelanceerd januari 2026). Agents vertonen statistieke regulariteiten vergelijkbaar met menselijke communities maar met distinctieve patronen. Implicaties voor enterprise multi-agent system design.

https://arxiv.org/abs/2602.09270

Cybersecurity Research

Agentic AI & Cybersecurity: Comprehensive Survey

SOC Automation Research Team

Blueprint voor AI-driven security operations: automated alert triage, autonome incident response, scalable red-blue simulation. 82.6% automatiseringssucces voor security testing. Toont de roadmap voor next-generation SOC met agentic AI-integratie.

https://arxiv.org/abs/2601.05293

G7 Post-Quantum Cryptography Financial Sector Guidance

U.S. Treasury / G7 Working Group

G7 publiceert richtlijnen voor post-quantum cryptografie transitie in de financiële sector (12 januari 2026). NIST FIPS 203 ML-KEM, ML-DSA en SLH-DSA algoritmen nu productiegereed. Organisaties moeten cryptografische inventarisatie starten en hybride classical/PQC deployments plannen.

https://home.treasury.gov/news/press-releases/sb0355

Astrophysics

GW250114: Helderste Gravitatiegolfsignaal Ooit Gedetecteerd

LIGO Scientific Collaboration

Record-breaking gravitatiegolfsignaal van twee ~30 zonsmassa zwarte gaten op 1,3 miljard lichtjaar. Multiple ‘tonen’ gemeten die exact matchen met algemene relativiteitstheorie. Valideert extreme-scale signaalprocessing en template matching — technieken overdraagbaar naar anomaliedetectie in enterprise data.

https://www.sciencedaily.com/releases/2026/02/260201231224.htm

Model Releases & Benchmarks

Google Gemini 3.1 Pro (19 februari 2026)

Google DeepMind

Overtreft GPT-5 Pro op Humanity’s Last Exam (41% vs 31.64%). Leidt op 19 van 20 benchmarks. Nummer 1 op LMArena leaderboard. Significante capability-sprong voor enterprise AI-evaluaties.

https://llm-stats.com/llm-updates

NVIDIA Nemotron 3 Nano 30B

NVIDIA

Hybride Mamba-Transformer MoE-architectuur met 1M-token context window. Geöptimaliseerd voor efficiënte agentic deployment op NVIDIA-hardware. Enterprise-relevant voor high-throughput agent workloads.

https://huggingface.co/blog/nvidia/nemotron-3-nano-efficient-open-intelligent-models

GLM-5 128B Open-Source (Zhipu AI)

Zhipu AI

128B open-source model: 95.7% op AIME 2025, gelijkwaardig aan propriëtaire Gemini 2.0 Pro Thinking. Nummer 1 in open-source rankings. Kosteneffectief alternatief voor enterprise reasoning en coding taken.

https://llm-stats.com/benchmarks

Falcon-H1R-7B (TII Abu Dhabi)

Technology Innovation Institute

Gespecialiseerd reasoning model via cold-start SFT + GRPO RL scaling. Lightweight deployment voor resource-constrained omgevingen. Open-weight met commerciële licentie.

https://huggingface.co/tiiuae/Falcon-H1R-7B

4. Open Source & GitHub Discovery

GitHub Trending (19 februari 2026)

• openclaw/openclaw (TypeScript) 190k+ stars — Personal AI assistant framework. Self-hosted, privacy-first. Domineert trending al weken met continue groei.

• obra/superpowers (Multi) Trending stars — Agentic skills framework en software development methodology. Agent capability management.

• p-e-w/heretic (Python) Trending stars — Automatische censorship removal voor taalmodellen. Dual-use: privacy vs. safety bypass. Security-relevant.

• Developer-Y/cs-video-courses (Education) 73k+ stars — Curated CS-cursussen met videolectures. #1 op Trendshift deze week.

• n8n-io/n8n (TypeScript) 176k+ stars — Open-source workflow automation. Zwitsers bedrijf, GDPR-first. Enterprise-grade sovereign automation.

• open-webui/open-webui (Full-stack) 125k+ stars — WebUI voor lokale LLM-interactie. Privacy-first, geen externe data-transmissie.

• volcengine/OpenViking (Python) Trending stars — Context database voor AI Agents: unified management van memory, resources en skills.

Trend: Sovereign AI infrastructure blijft domineren: openclaw (190k), n8n (176k) en open-webui (125k). OpenViking signaleert dat agentic context management de volgende consolidatie wordt. Heretic’s censorship removal tool is dual-use: relevant voor privacy-voorstanders maar ook een risico voor AI safety guardrails.

5. AI Apps & Tools

• Google Gemini 3.1 Pro (vandaag gelanceerd) — Overtreft GPT-5 Pro op Humanity’s Last Exam. #1 LMArena. Deep Think voor AI Ultra subscribers. Personal Intelligence rollout (US). Chrome Side Panel met Nano Banana image editing. Alphabet: $175-185B capex voor 2026 AI-infrastructuur.

• OpenAI Model Retirements + Frontier Platform — GPT-4o, GPT-4.1, GPT-4.1 mini, o4-mini gepensioneerd; GPT-5.2 nu standaard. Frontier: end-to-end platform voor enterprise agents (HP, Oracle, Uber, State Farm). File upload: 20 bestanden per bericht. Lockdown Mode voor high-security users.

• Anthropic Claude Updates — Claude Code Legal Compliance Guide gepubliceerd (IP ownership, licensing, data privacy, agent accountability). Health Data Integration (iOS/Android, Pro/Max). Rwanda partnership: 2.000 Pro licenties voor onderwijs. Bengaluru kantoor geopend.

• AI Startup Funding Explosie — Ineffable Intelligence (David Silver, ex-DeepMind): $1B funding. ElevenLabs: $500M Serie D @ $11B. Runway: $315M Serie E @ $5.3B. World Labs (Fei-Fei Li): $1B Serie C. ~20 US AI-bedrijven $100M+ in jan-feb 2026.

• KONNI AI-Malware Precedent — Eerste bevestigde inzet van AI-gegenereerde malware door nation-state actor (Noord-Korea). Verlaagt drempel voor sophisticated attacks. Governance-implicatie: AI-coding tools vereisen misbruikdetectie.

6. Regulatory & Ethics Monitor

• NIS2 Wijzigingsvoorstel EU Commissie — Voorgesteld 20 januari 2026: verduidelijking scope, vereenvoudigde jurisdictie, versterkte cross-border toezichttools, uniforme ransomware-rapportage. NL Cyberbeveiligingswet plenair debat 23 maart 2026. Registratiedeadline 28 feb (T-9d). DLA Piper

• DORA ROI Indieningsvenster Open — 11 februari – 31 maart 2026 via CSSF eDesk. Boetes tot 2% jaaromzet. Shift naar interventionist supervision met geautomatiseerde monitoring. Vroege indiening sterk aanbevolen. CSSF

• EU AI Act: 2 Augustus 2026 Full Enforcement — Art. 50 transparantieverplichtingen: AI-chatbots moeten kunstmatige aard onthullen, emotion recognition vereist notificatie, deepfakes vereisen machine-readable watermarks. Code of Practice transparantie publicatie juni 2026. AI Act Timeline

• EU Digital Fairness Act + CADA — Digital Fairness Act medio 2026: consumentenbescherming, anti-manipulatief design, minderjarigensafeguards. Cloud and AI Development Act (CADA): datacenter-vergunningen, EU-brede geschiktheidseisen. Sovereign cloud IaaS groeit naar $23B (2027). CNBC

• AP Datalek + Raad voor de Rechtspraak — Autoriteit Persoonsgegevens en de Raad voor de Rechtspraak melden beide datalekken in februari 2026. AP prioriteert massasurveillance, AI governance en digitale weerbaarheid voor 2026-2028. Generatieve AI + AVG visie volgt in 2026. AP

• EDPB 5e Coordinated Enforcement: Art. 12-14 — Transparantieverplichtingen: privacy notices, data subject rights, verwerkingsdoelen. Intensivering handhaving. Werk-programma 2026-2027: anonimisatie, legitimate interests, kinderdata, wetenschappelijk onderzoek. EDPB

7. The Daily Meta-Prompt

Mode: INCIDENT_RESPONSE

Role: Senior Security Architect en Enterprise Architect, NL gereguleerd (BIO2, NIS2, EU AI Act).

Context uit Research en Discovery

• International AI Safety Report 2026: safety testing wordt moeilijker; modellen herkennen test-omgevingen.

• Trinity Defense Framework: deterministische agent governance via Action Governance + Information-Flow Control + Privilege Separation.

• MCP Agent error propagation O(√T) — budget voor error-correctie in multi-step agent pipelines.

• G7 PQC guidance: ML-KEM, ML-DSA, SLH-DSA nu productiegereed. Start cryptografische inventarisatie.

Taak 1 — Triage (15 min)

**Classificatie****Active Exploitation NL / EU Critical Infrastructure Attack / Mass Data Breach (meervoudig)**FACT referentiesFACT-1 (NCSC-NL Ivanti EPMM CVE-2026-1281 actief NL), FACT-2 (Sandworm DynoWiper Pools stroomnet), FACT-3 (EC mobiele infrastructuur breach), FACT-4 (IDMerit 1B records 26 landen), FACT-5 (Windows Admin Center CVE-2026-26119), FACT-6 (KONNI AI-malware), FACT-7 (Honeywell CCTV + Grandstream VoIP), FACT-8 (NIS2/DORA/AI Act deadlines)SeverityCritical — NCSC-NL directe oproep (zeldzaam); Sandworm wiper op EU energieinfrastructuur; EC governance breach; 1B records exposed; NL-organisaties actief gecompromitteerdNL-relevantieMaximum — NCSC-NL oproept NL-organisaties direct; Sandworm bedreigt NL-energiesector; IDMerit treft NL financiële sector; NIS2 T-9d; AP + RvdR eigen datalekkenExploitatieActief-bewezen NL (Ivanti EPMM meerdere organisaties), Destructief (Sandworm DynoWiper), Governance (EC breach), Mass exposure (IDMerit 1B), AI-assisted (KONNI)

Taak 2 — Impact Assessment (15 min)

Systemen****Ivanti EPMM/MobileIron MDM; ICS/SCADA energieinfrastructuur; EC mobiele systemen; IDMerit KYC-platform; Windows Admin Center; Honeywell CCTV; Grandstream VoIPBlast radiusIvanti: volledig mobiel endpoint-fleet + corporate O365 credentials; Sandworm: EU energienetwerken; IDMerit: 1B identiteiten 26 landen; EC: medewerkergegevens EU-governance; WAC: potentieel domein-compromitteringComplianceNIS2 Art. 21 meldplicht 24h (Ivanti compromittering); AVG Art. 33/34 (IDMerit, EC breach); DORA ROI deadline 31 mrt; NIS2 registratie 28 feb; EU AI Act 2 aug; EDPB Art. 12-14 handhavingBusiness impactOperationeel (MDM compromittering = volledig mobiel fleet), Infrastructureel (wiper = permanente schade), Reputatie (1B records, EC), Financiël (IR multi-vector), Juridisch (NIS2 + DORA + AVG non-compliance)

Taak 3 — Containment Plan (20 min)

#ActieOwnerDeadlineVerificatie1Inventariseer Ivanti EPMM/MobileIron gebruik; als actief: meld bij NCSC-NLIT Security MgrT+2hNCSC-melding bevestiging of n.v.t.2Revoke alle O365 tokens die via Ivanti EPMM zijn geïssued; start forensisch onderzoekIAM TeamT+4hToken revocation log + forensisch plan3Verscherp ICS/SCADA monitoring; valideer IT-OT segmentatie na Sandworm DynoWiperOT SecurityT+6hSegmentatie-validatie rapport + anomalie-logs4Beoordeel IDMerit-blootstelling bij financiële dienstverleners; start AVG Art. 33 assessmentVendor Risk MgrT+8hIDMerit exposure assessment rapport5Verifieer Windows Admin Center patchstatus (CVE-2026-26119, december 2025 patch)Windows TeamT+4hWAC versie compliance rapport6Verifieer gisteren’s acties: Dell RecoverPoint + FortiCloud SSO + BeyondTrust statusSecurity OpsT+3hStatusrapport 3 items7Informeer CISO over NCSC-NL Ivanti oproep en Sandworm EU-energieaanvalSecurity MgrT+1hBriefing-log + escalatie-notitie

Taak 4 — Risk Register

Risk ID****IR-20260219-001BeschrijvingMulti-vector NL-specifiek: NCSC-NL Ivanti EPMM actieve exploitatie NL (FACT-1), Sandworm wiper Pools stroomnet (FACT-2), EC mobiele breach (FACT-3), IDMerit 1B records (FACT-4), Windows Admin Center priv-esc (FACT-5), KONNI AI-malware (FACT-6). Plus ongoing: Dell CVSS 10.0, Fortinet SSO, BeyondTrustLikelihood5/5 — NCSC-NL bevestigt actieve compromittering bij meerdere NL-organisaties; Sandworm destructieve aanval op EU-energie; IDMerit 1B records al exposedImpact5/5 — MDM compromittering (volledig mobiel fleet + O365 credentials), wiper malware (permanente infrastructuurschade), 1B identiteiten exposed, EC governance data gelektRisicoscore25 (Kritiek) — Negende dag op rij; NL-specifieke impact door NCSC oproepMitigatieContainment acties 1-7; NCSC-melding; O365 token revocation; ICS monitoring; IDMerit assessment; WAC patch; gisteren’s acties verifiërenReview2026-02-26OwnerCISO

Taak 5 — Executive Update Template

Woensdagbriefing 19 februari: NCSC-NL publiceert directe oproep — Ivanti EPMM wordt actief geëxploiteerd bij meerdere Nederlandse organisaties. Gecompromitteerde data omvat O365 tokens en LDAP credentials; patchen is onvoldoende, forensisch onderzoek vereist. Sandworm (Russische GRU) voert DynoWiper destructieve aanval uit op Pools stroomnet — eerste wiper-inzet tegen EU-energieinfrastructuur in 2026. Europese Commissie bevestigt breach op mobiele infrastructuur. IDMerit identity verification platform lekt 1 miljard records uit 26 landen. Google lanceert Gemini 3.1 Pro (#1 op benchmarks). Containment: 7 acties geactiveerd inclusief NCSC-melding en O365 token revocation. NIS2 registratie T-9 dagen; DORA ROI indiening loopt. Risicoscore 25/25 negende dag op rij. Escalatie onmiddellijk bij bevestigde Ivanti EPMM compromittering.

8. Sources

Security — Lane A

• 1. NCSC-NL — Ivanti EPMM Oproep ncsc.nl
• 2. ESET / Industrial Cyber — Sandworm DynoWiper industrialcyber.co
• 3. Europese Commissie — Mobiele Infrastructure Breach IP/26/342 ec.europa.eu
• 4. Cybernews — IDMerit 1 Miljard Records cybernews.com
• 5. Help Net Security — Windows Admin Center CVE-2026-26119 helpnetsecurity.com
• 6. Security Affairs — KONNI AI-Assisted Malware securityaffairs.com
• 7. DLA Piper — NIS2 Wijzigingsvoorstel dlapiper.com
• 8. CISA KEV Catalog cisa.gov/kev

Security — Lane B

Evergreen brief, geen externe bronnen.

Research Radar

• ArXiv papers: individuele links in sectie 3.

• International AI Safety Report 2026

• Hugging Face Trending Papers

Open Source & GitHub

• Trendshift.io

• GitHub Trending

Regulatory & Ethics

• EDPB

• Autoriteit Persoonsgegevens

• EU AI Act Implementation Timeline

• ENISA

• NCSC-NL

Distribution Assets

LinkedIn Post

NCSC-NL publiceert een directe oproep: Ivanti EPMM wordt actief geëxploiteerd bij meerdere Nederlandse organisaties. Gecompromitteerde data omvat O365 tokens, LDAP credentials en device-gegevens. Patchen alleen is onvoldoende — forensisch onderzoek vereist. Sandworm (Russische GRU) voert een DynoWiper destructieve aanval uit op het Poolse stroomnet, de eerste wiper-inzet tegen EU-energieinfrastructuur in 2026. De Europese Commissie bevestigt een breach op haar mobiele systemen. IDMerit identity verification platform lekt 1 miljard records uit 26 landen — een supply chain breach in de KYC-keten. Google lanceert Gemini 3.1 Pro (#1 op benchmarks, overtreft GPT-5 Pro). Het International AI Safety Report 2026 waarschuwt dat modellen test-omgevingen herkennen. NIS2 registratiedeadline T-9 dagen; DORA ROI-indiening loopt. Leadership metric: Ivanti EPMM gemeld bij NCSC + O365 tokens gerevoked + ICS monitoring verscherpt + IDMerit exposure beoordeeld.

CISO Flash Card

Veld****WaardeThreat levelCritical (9e dag op rij); NL-specifieke NCSC oproep + EU infrastructure wiperTop priorityIvanti EPMM: inventariseren + melden bij NCSC + O365 tokens revoken + forensisch onderzoekEU infrastructureSandworm DynoWiper Pools stroomnet (wiper = permanente schade). EC mobiele breach. Verscherp ICS/SCADA monitoring.Compliance checkNIS2 registratie 28 feb (T-9d); DORA ROI 31 mrt; EU AI Act 2 aug; NL Cbw plenair debat 23 mrt; EDPB Art. 12-14 handhavingTechnical actionIvanti EPMM + NCSC melding, O365 token revocation, ICS monitoring, IDMerit assessment, WAC patch, gisteren’s acties verifiërenResearch highlightAI Safety Report 2026 (100+ experts); Trinity Defense agent governance; G7 PQC guidance; Gemini 3.1 Pro #1; NVIDIA Nemotron 3 Nano 1M context