O zabezpieczeniach w systemach loteryjnych rozmawiam z Jarosławem Dąbrowskim, dyrektorem ds. Technologii na Europę Wsch., Bliski Wschód i Afrykę firmy GTECH Poland.
Robert Kamiński: Czy loteria to jest losowanie? Czy pseudo losowanie?
Jarosław Dąbrowski: Załóżmy że są takie podejrzenia w losowaniu, że kulka może być tendencyjna. Pytanie - co z tego wynika? Loterie zarabiają na sprzedaży, a nie na braku wygranych. To trzeba przyjąć. Po co loteria miałaby nie wypłacać wygranych? Generalnie są trzy rozwiązania - albo te pieniądze stanowią zysk loterii i muszą być wypłacone w wygranych czyli są dołączane do puli, albo muszą być przeznaczone na dotacje na cele statutowe. Załóżmy że losowanie jest ustawione - po co organizator miałby to robić? Te wygrane dla organizatora to są grosze w stosunku do obrotu loterii.
Robert Kamiński: Jasne, ale z punktu widzenia gracza liczy się szybki zysk
Jarosław Dąbrowski: Przede wszystkim trzeba podkreślić że są dwie oddzielne struktury, fizycznie od siebie oddalone – nasza firma Gtech odpowiadająca za sprzedaż, rejestrację, obsługę systemu i oddzielna komisja, lub firma audytorska zajmująca się losowaniem. Kopia wszystkich transakcji off line trafia do niezależnego systemu przed losowaniem. My dokonujemy selekcji zwycięzców, a oddzielny system używając innego algorytmu znajduje wygrane. Gdy liczba zwycięzców jest taka sama w obu systemach można uznać że selekcja zwycięzców jest poprawna. Jeśli myślimy o oszustwie to ktoś musiałby dodać wynik po losowaniu. To nie jest możliwe, zważywszy na dwa niezależne systemy. Bezsporne jest to że loterie dbają o swój wizerunek, przechodzą wieloetapowe weryfikacje procedur, ale też dostawców. Utrata wiarygodności to jest największy koszmar dla loterii.
Robert Kamiński: Czy to się kiedyś zdarzyło?
Jarosław Dąbrowski: W Lotto, o ile wiem nie, ale w loteriach pieniężnych kilka lat temu takie zdarzenie miało miejsce. W 2004 roku we Włoszech jeden z dostawców wydrukował kupony wadliwie, w konsekwencji wygrane były rozłożone nierównomiernie i wszystkie wyższe dla całej gry zdrapkowej trafiły do jednej małej wioski. Był olbrzymi skandal, rząd zdecydował zablokować wszystkie wygrane więc nie było wypłat. Wiarygodność została zniszczona i jej odbudowanie trwało wiele lat. Było oczywiście śledztwo, które nie wykazało celowego działania, była to po prostu źle skonstruowana gra.
Robert Kamiński: Istnieją spiskowe teorie dotyczące samej „mechaniki” losowania…
Jarosław Dąbrowski: Maszyna losująca, to w jaki sposób są przygotowywane piłeczki to bardzo skomplikowane mechanizmy podlegające skrupulatnej kontroli. Totalizator dostaje wiele listów w których sugerowane są różne możliwości wpływania na wynik losowania - od specjalnej farby zmieniającej wagę poszczególnych kul po mikro nadajniki umieszczone wewnątrz. To jest niemożliwe, bo zarówno proces produkcji jak i testy prowadzone przez instytuty wskazane przez ministerstwo wykluczają jakąkolwiek ingerencję. Dodam, że maszyny są homologowane i spełniają normy ISO.
Lotto to około 14 mln kombinacji, w ciągu roku mamy plus minus 1000 losowań. W którym momencie statystyka ma dać odpowiedź na pytanie jakie są trendy czy częstotliwość wypadania poszczególnych liczb prawdopodobieństwo rozkładu. Po stu latach?
W niektórych krajach przed każdym losowaniem jest kilka maszyn losującychch i kilka zestawów piłeczek. Przed każdym losowaniem jest losowanie zestawów i piłeczej, aby maksymalnie wykluczyć jakiekolwiek prawidłowości związane z konkretnym zestawem.
Robert Kamiński: Skoro jest maszyna, to jest też moment zakończenia losowania swego rodzaju „time stamp”? Zapewne niejedna osoba myślała o tym aby cofnąć czas, i skreślić liczby już wylosowane?
Jarosław Dąbrowski: W tym przypadku mamy 2 metody zabezpieczeń - osoby które mają wiedzę i możliwości dokonania zmian w systemie nie biorą udziału w codziennym zarządzaniu systemem. Każdego dnia pracują z systemem osoby z działu operation, które nie ma ją uprawnień fizycznych do dokonania zmian ani odpowiedniej wiedzy. Mamy w obrębie naszej firmy 2 grupy ludzi, które kontrolują się nawzajem. Programista nie może pracować na systemie produkcyjnym za który odpowiada grupa operatorów.
Robert Kamiński: Czy system działa na waszych serwerach off line bez połaczenia z internetem?
Jarosław Dąbrowski: Połączenie ze światem zewnętrznym mamy poprzez terminale, które zakłady sprzedają. Poza Polską są zakłady przyjmowane przez internet, ale również w tym przypadku system łączy się ze światem zewnętrznym na poziomie transakcji, które przychodzą z terminali. Transakcje zapisywane są jako sprzedaż, wypłata lub unieważnienie. Transakcje są przesyłane w formie "maili" tekstowych bez załączników, co uniemożliwia wprowadzenie czegokolwiek do systemu. W momencie zamknięcia losowania plik off line jest zamknięty na maszynie, która jest poza naszymi serwerami i naszym nadzorem. Wówczas po wzajemnym potwierdzeniu zabezpieczenia plików może być przeprowadzone losowanie. Po losowaniu wyniki trafiają do nas, do systemu działającego off line który znajduje zwycięzców. Jeśli wyniki z obu systemów są takie same losowanie jest ważne. Gdyby pliki się nie zgadzały, loteria wstrzymuje wypłaty.
Robert Kamiński: Czy to się już kiedyś zdarzyło?
Jarosław Dąbrowski: Tak, ale problem wynikał z różnic w wysokości wygranych, a to z kolei z różnic w zaokrągleniach w obu systemach. W tym momencie wypłaty są wstrzymywane i prowadzone są analizy losowania. Dwa oddzielne systemy, dwa różne algorytmy losowania pozwalają na wykrycie błędu.
Robert Kamiński: Czy zdarza się że ktoś przychodzi ze sfałszowanym kuponem?
Jarosław Dąbrowski: Oczywiście, w tej mierze ludzie są bardzo zdolni. Czy można zmusić maszynę żeby wydrukowała "właściwy" kupon? Można to zrobić nawet na domowej drukarce, ale nie ma śladu w systemie. Podobnie jak w banku - czek bez pokrycia nie daje prawa do wypłaty.
W naszym systemie rejestrującym transakcje jest tak dużo informacji, że udowodnienie fałszerstwa jest bardzo łatwe. Liczba nieścisłości, numer kolektora, data, godzina transakcji etc pozwalają łatwo wykazać nieprawidłowy kupon. A przede wszystkim brak śladu w systemie centralnym.
Kupon jest drukowany gdy transakcja jest zarejestrowana w systemie centralnym - czyli transakcja biegnie dwukierunkowo. Jeżeli kupon jest wydrukowany - transakcja jest w systemie. Dla gracza nie ma niebezpieczeństwa, że kupon został wydrukowany bez śladu w systemie.
Robert Kamiński: W jakiej technologii przesyłane są informacje o zakładach?
Jarosław Dąbrowski: Transmisja odbywa się w technologii 3G, czasem EDGE. Ilość informacji jest niewielka więc nawet w przypadku kumulacji mamy około 25000 transakcji na minutę w szczycie czyli 2 zakłady na jedną kolekturę. Ograniczeniem nie jest technologia, ale szybkość obsługi klienta w kolektorze. Zakłady przyjmowane są przy wykorzystaniu publicznej sieci operatora, ale oczywiście jest to transmisja w bezpiecznym tunelu jakim jest VPN.
Robert Kamiński: Czy zdarzyły się próby "podszycia" się pod terminal?
Nie było takiej próby, teoretycznie najłatwiej byłoby posłużyć się istniejącym terminalem. Gdy wprowadziliśmy 10 lat temu nowe terminale zdarzyło się kilka kradzieży urządzeń. Nie były to jednak próby posłużenia się nimi, lecz błędne przekonanie że terminal przechowuje gotówkę. Reasumując sam terminal nie umożliwia włamania do systemu, który jest złożonym procesem. Kto inny przyjmuje zakłady, kto inny je rejestruje i ktoś inny przetwarza dane. Daje to pełne zabezpieczenie transakcji.
Robert Kamiński: Najsłabszym ogniwem jest człowiek - jakie są zatem zabezpieczenia w samej firmie?
Jarosław Dąbrowski: Mamy dedykowane rozwiązania dla poszczególnych obszarów, jak na przykład oprogramowanie do śledzenia wersji kodu. Rozwiązania do instalacji w systemie produkcyjnym, monitorowanie sieci wewnętrznej i użytkowników "logicznych", pozwalające śledzić kto, co robi w danym momencie. Nawet jeśli któś popełni błąd, jest to w pełni audytowane.
Stosujemy oczywiście bardziej tradycyjne metody pozwalające na monitorowanie pracowników. Mamy również procedury, które pozwalają na dostęp do poszczególnych elementów systemu tylko właściwym osobom. Nawet ja - będąc dyrektorem IT i członkiem zarządu nie mam dostępu do systemu produkcyjnego.
Wdrażamy również procedury moniturujące kolektury, które pozwalają śledzić przebieg zakładów w określonej lokalizacji. Dzięki temu uniemożliwiamy "granie na kredyt", czyli zawieranie zakładów w nadziei na przyszłą wygraną bez wnoszenia opłat. Takie próby miały miejsce w przeszłości. Oczywiście sprawy nieuczciwych pracowników kolektur trafiły do sądu.
Czasem najprostsze rozwiązania są najlepsze. Na przykład w Izraelu- część kolektorów oszukiwała przy wypłatach. Podawali mniejsze wygrane niż rzeczywiste, różnicę zachowując dla siebie. W efekcie na terminalach zainstalowano wyświetlacze pokazujące wysokość wygranej lub jej brak.
autor: Robert Kamiński