In partnerschap met Economische Veiligheid – In een decennium tijd heeft Picnic zich ontpopt tot een van de meest geavanceerde online supermarkten van Europa. Deze vooruitstrevende, door AI aangedreven keten heeft echter ook de aandacht getrokken van ongewenste partijen. Daniel Gebler, de CTO van Picnic, legt uit hoe veiligheid een integraal onderdeel van het bedrijfs-DNA is geworden zonder dat dit ten koste gaat van hun vermogen om te innoveren.
Meer dan twee miljoen Nederlanders maken regelmatig gebruik van de elektrische bezorgwagentjes van Picnic. Wat begon als een experiment met online boodschappen is nu uitgegroeid tot een van de populairste apps van Nederland.
De groei van het bedrijf bracht echter nieuwe uitdagingen met zich mee. Toen Picnic startte met het opzetten van geautomatiseerde magazijnen met robots, ontstond er een cruciale koppeling tussen de cloud en de fysieke wereld die beveiliging vereiste.
De ontwikkeling van de software bij Picnic is ook veranderd. “In het begin schreven we al onze code zelf,” vertelt Gebler, mede-oprichter en CTO van Picnic. “Tegenwoordig ontwikkelen we producten die onze eigen software combineren met AI-modellen van externe partijen. Dit vereist nieuwe veiligheidsmaatregelen.”
Een veiligheidsexpert in elk team
Veiligheid was ooit een secundaire overweging, maar is nu een strategisch thema geworden. “In de beginjaren was veiligheid voornamelijk een technische kwestie,” zegt Gebler. Nu Picnic een belangrijke speler is met een complexe toeleveringsketen die meer dan driehonderd leveranciers omvat, is het bedrijf een aantrekkelijker doelwit geworden. Dit heeft geleid tot een heroverweging van de benadering van (cyber)veiligheid.
Veiligheid is verschoven van een IT-kwestie naar een bedrijfsbrede verantwoordelijkheid. “Technologie en bedrijfsvoering werken nu samen. Veiligheid is de verantwoordelijkheid van iedereen binnen het bedrijf. Elk team bij Picnic heeft een veiligheidsexpert, iemand die proactief nadenkt over veilig gedrag en duurzame bedrijfsprocessen.”
Maandelijks een incident in de keten
Picnic had een voorsprong bij de overstap naar de cloud omdat het bedrijf vanaf het begin cloud- en AI-native is. “We hebben alles ontworpen met een ‘security-first’ aanpak,” zegt Gebler.
Desondanks komt de organisatie nog steeds regelmatig kwetsbaarheden tegen die voortkomen uit de keten. Gebler: “Elke maand ontvangen we wel een melding van een leverancier die niet kan leveren vanwege ransomware of een ander veiligheidsincident.”
“Het is elke keer een wake-upcall,” voegt hij eraan toe. “De wereld van veiligheid is bijzonder. Veel aanvallers zijn zakelijke professionals die systematisch de zwakste schakels in een sector aanvallen. Als je tot die onderste laag behoort, ben je voortdurend kwetsbaar.”
Proactieve monitoring
Deze realiteit noopt Picnic tot een tweeledige benadering: beschermende maatregelen om eigen risico’s te beperken en gedetailleerde monitoringtools die vroegtijdig signaleren wanneer er iets mis dreigt te gaan bij ketenpartners. “We kunnen patronen herkennen die duiden op een verhoogde dreiging. Dit stelt ons in staat om proactief te handelen.”
AI versus AI: Het kat-en-muisspel
De bedreigingen evolueren snel. “Hackers waren vroeger beperkt tot vaste scripts,” vertelt Gebler. “Nu gebruiken ze AI om steeds nieuwe aanvalsvormen te genereren, wat het moeilijker maakt voor beveiligingstools. Als je alleen op bekende patronen focust, mis je nieuwe aanvallen.”
Onlangs maakten de ontwikkelaars van AI-chatbot Claude bekend dat hackers hun tool gebruikten voor geautomatiseerde cyberaanvallen tegen zo’n 30 organisaties. De aanvallers zouden met minimale menselijke betrokkenheid een doelwit kunnen compromitteren dankzij de coderingshulp van de AI-chatbot.
“AI tegen AI: dat is de nieuwe realiteit,” zegt Gebler. “We bevinden ons in een situatie waarin software-agents elkaar aanvallen. Het spel tussen aanvallers en verdedigers speelt zich niet langer af tussen mensen, maar tussen AI-systemen.”
Alle incidenten zijn zonder verwijten
Picnic hanteert twee strikte regels: geen enkel incident mag zich herhalen, en geen enkel incident mag fataal zijn. Volgens Gebler is het cruciaal dat incidentanalyses volledig zonder verwijten plaatsvinden.
“Als je echt wilt begrijpen wat er is gebeurd en hoe je het kunt voorkomen, mag niemand zich aangevallen voelen. Het gaat erom dat we samen zorgen dat het niet nog eens gebeurt.”
Een belangrijke les kwam voort uit de credential stuffing-aanvallen tot 2022, waarbij hackers gestolen wachtwoorden van andere websites gebruikten om in te loggen op Picnic-accounts. De oplossing was eenvoudig maar ingrijpend: verplichte tweefactorauthenticatie voor iedereen. “We waren een van de eerste e-commercebedrijven die dit verplicht stelden. Gebruikersnaam en wachtwoord zijn waarschijnlijk het minst veilige authenticatiemiddel.”
De beste én veiligste melkboer ter wereld
Gebler is duidelijk: veiligheid moet onderdeel zijn van je strategie. “Het moet samen opgaan met de bedrijfsvoering. Wees voorbereid op een toename van het veiligheidsbudget, maar tegelijkertijd wordt software goedkoper om te ontwikkelen, wat hopelijk betekent dat de totale technologiekosten niet te veel stijgen.”
Het bedrijfsmotto van Picnic is veelzeggend geworden. “We hebben het altijd over het bouwen van de beste melkboer ter wereld,” zegt Gebler. “Maar we bouwen niet alleen de beste, we bouwen vooral de veiligste melkboer ter wereld. Door veiligheid te integreren in onze kernwaarden wordt het een natuurlijk onderdeel van hoe we onze systemen en onze organisatie structureren. Geen apart veiligheidsteam dat iedereen ter verantwoording roept, maar een gemeenschappelijke mindset.”
data
Vergelijkbare berichten
- Picnic overweegt vertrek uit Nederland: Supermarkt-cao maakt concurreren onmogelijk!
- Ontdek het geheim achter de snelle groei van XLINQ: Groei zonder salesafdeling!
- Drones Beschermen Europa Ondanks Scepsis: ‘Uitdaging Te Groot Voor Één Bedrijf’
- Orderchamp’s Cruciale Wending: Op Topmomenten €1 Miljoen Per Maand Verbrand!
- Intelic uitgeroepen tot meest uitdagende bedrijf van 2025: Winnaar Challenger50!
Anika schrijft over tuinieren, natuur en ecologie. Ze deelt praktische tips en seizoensgebonden inspiratie voor elke tuinliefhebber. Haar stukken combineren vakkennis en passie, met oog voor biodiversiteit, duurzaamheid en welzijn. Ze moedigt lezers aan om bewuster en groener te leven, te starten in eigen tuin.