Våra senaste
toppartiklar

- Computer Sweden:

Google Apps

Därför dissar staten Google Apps


- CIO Sweden:

Annika Steiber

Hon lär dig leda
som Google


- TechWorld:

moderkort

Heta moderkort
genom tiderna


- TechWorld:

Städje

Städje-tv: Tekniken
bakom fyrverkerierna

- IDG.se:

Här sätter man inte säkerheten på spel

Lars Broman, IT-arkitekt på Svenska Spel, konstaterar att företaget befinner sig i en bransch som behöver både hängslen och livrem.
Lars Broman, IT-arkitekt på Svenska Spel, konstaterar att företaget befinner sig i en bransch som behöver både hängslen och livrem.
Henrik Engström, säkerhets- och IT-säkerhetschef på Svenska Spel, understryker att grunden för företagets affärsidé är att verksamheten ska bedrivas på ett säkert och ansvarsfullt sätt.
Henrik Engström, säkerhets- och IT-säkerhetschef på Svenska Spel, understryker att grunden för företagets affärsidé är att verksamheten ska bedrivas på ett säkert och ansvarsfullt sätt.
STRYKTIPSKUPONGEN som den ser ut på Internet. Stryktipset är ett av de spel du kan spela på via Svenska Spels webbplats, www.svenskaspel.se. Det går att ta fram information om varje enskild match på webbplatsen. När du är redo är det bara att fylla i spel
STRYKTIPSKUPONGEN som den ser ut på Internet. Stryktipset är ett av de spel du kan spela på via Svenska Spels webbplats, www.svenskaspel.se. Det går att ta fram information om varje enskild match på webbplatsen. När du är redo är det bara att fylla i spel
Restaurangspelen Jack Vegas och Miss Vegas har vuxit till Sveriges enskilt största spelform. den omsatte sex miljarder kronor förra året.
Restaurangspelen Jack Vegas och Miss Vegas har vuxit till Sveriges enskilt största spelform. den omsatte sex miljarder kronor förra året.
Anders Edeholm på Juridik & Säkerhet inom Svenska Spel slår fast att det är omöjligt att lura till sig en vinst, både för spelare och anställda.
Anders Edeholm på Juridik & Säkerhet inom Svenska Spel slår fast att det är omöjligt att lura till sig en vinst, både för spelare och anställda.
  • Artikeln beskriver hur Svenska Spel arbetar med säkerheten kring sina skicklighets-, tur- och restaurangspel.
  • Vi förklarar hur kommunikationen fungerar mellan företaget, dess tusentals ombud runtom i landet och de direktkunder som spelar på Internet.
  • Läs bland annat om hur en Lottodragning går till.


I Sverige är spelverksamheten koncentrerad till ett företag, AB Svenska Spel. De står för 53 procent av den totala spelmarknaden i Sverige. Företaget ägs av staten och sorterar under Finansdepartementet.

Spelföretag är unika bland annat för att de hanterar jättelika summor med pengar som under en tidsperiod inte kan sägas tillhöra någon speciell person – nämligen innan vinsterna har fördelats. Bara detta fenomen kräver en mycket hög säkerhetsnivå.
– Den säkerhetsmässiga komplexiteten är hög i alla spelföretag av samma typ som Svenska Spel. För oss är den extra hög, eftersom det nog inte finns något spelbolag i världen som har lika många spelprodukter som vi har, säger Henrik Engström, säkerhets- och IT-säkerhetschef på Svenska Spel.

Medlem i det stora världslotteriet
Företaget är medlem i World Lottery Association, WLA, en organisation för spelbolag i 160 länder. Denna har bland annat en särskild säkerhetsstandard som dess medlemmar kan välja att följa. Medlemmarna kan också välja att certifiera sig mot denna standard. Den täcker alla säkerhetsområden, som fysisk säkerhet, beredskapsplanering, personkontroll och ITsäkerhet.
– I denna standard har WLA lagt till delar som är specifika för spelbranschen, till exempel den säkerhet som krävs vid en dragning, säger Henrik Engström. Bortsett från dessa delar är det i stort sett en generell bred säkerhetsstandard som skulle kunna användas av vilken bransch som helst.

Svenska Spel är mycket aktivt i det internationella samarbetet. Från början var det Svenska Spel (eller egentligen dåvarande Tipstjänst) som tog initiativet till att starta säkerhetsgruppen i den internationella organisationen.

Fyra huvudområden
Svenska Spel följer WLA:s standard, men har valt att därutöver utveckla ett säkerhetsramverk som tar hänsyn till att komplexiteten ökar, när det gäller både nya tekniska lösningar och själva spelverksamheten. Säkerheten i företaget är grovt sett uppdelad i tre delar: informationssäkerhet, fysisk säkerhet och spelsäkerhet.

Svenska Spels verksamhet kan delas in i fyra huvudområden:

1. Skicklighetsspel (som Oddset, Stryktipset och Måltipset).
2. Turspel (som Lotto och Triss).
3. Restaurangspel (Jack Vegas, Miss Vegas).
4. Fyra internationella kasinon som drivs av dotterbolaget Casino Cosmopol.

De två första, skicklighetsspel och turspel, säljs dels via Svenska Spels 6 800 ombud runtom i landet, dels direkt till kund via Internet.

En skillnad mellan dessa två kanaler är att en stor del av spelen som sker via ombud görs av anonyma kunder. Varje gång ombuden ger ett spelkvitto till en kund är det en potentiell miljonvinst. Hälften av alla sådana kvitton är i dag anonyma.
– De spelare som är anonyma måste själva bevaka dragningen eller matchresultatet och ta med sig kvittot till butiken. Vi kan aldrig veta att det är rätt person som har kvittot. Någon kan ju ha stulit det, säger Anders Edeholm på Juridik & Säkerhet inom Svenska Spel.

Om kunden har ett spelkort från Svenska Spel är han eller hon inte anonym. Om en sådan kund glömmer att bevaka spelet och det blir vinst sätts pengarna automatiskt in på kundens konto. Om det är en högvinst informeras kunden efter elva dagar.

Av ombuden är ungefär 3 600 fullserviceombud, som säljer alla Svenska Spels skicklighets- och turspelsprodukter. De övriga 3 200 ombuden hanterar bara lotter. Båda dessa typer av ombud är ofta tobakshandlare.
– För att det ska vara lönsamt att vara ett fullserviceombud rekommenderar vi att de ska ha en omsättning i spelverksamheten när det gäller on-linespelen på minst 20 000 kronor i veckan, säger Lars Broman, IT-arkitekt på Svenska Spel.

Så funkar det när man spelar
Hos ombuden står det en terminal med en kupongläsare. Den som spelar fyller i en kupong,
som sedan blir avläst av terminalen. Sedan tar det inte många sekunder innan spelaren får tillbaka en utskrift av kvittot.

Under den tiden har informationen behandlats av Svenska Spels centrala ombudssystem som finns i företagets hus i Sundbyberg. Systemet kommer från en amerikansk leverantör som heter Gtech. Det centrala ombudssystemet är egentligen inte ett utan tre system: ett "Primary", ett "Secondary" och ett "Stand-by".

Informationen lagras i dessa tre system. Det sista fungerar som ett extra backup-system. Dessutom finns det ytterligare backup på alla tre. Vid sidan av Svenska Spels system lagras informationen även i Lotteriinspektionens system. Lotteriinspektionen är tillsynsmyndighet.

Primary- och Secondary-systemen finns i olika delar av huset i Sundbyberg. Det ena står en bit upp i ena änden av huset. Det andra står diagonalt i andra änden av huset och nere i källaren. Det är ungefär 100 meter mellan dem. Enligt brandkåren kan en brand inte slå ut båda samtidigt.
– Det är mycket dubbelt, säger Lars Broman.

Samma konfiguration finns på fler ställen. Vi befinner oss i en bransch som behöver både hängslen och livrem.
– Den höga säkerhetsnivån beror på att vi aldrig någonsin får tappa en enda transaktion. Det gäller både den transaktionella säkerheten och den fysiska säkerheten. Det senare innebär att vi även måste skydda oss mot risken för att disken förstörs rent fysiskt, exempelvis genom en brand.

Primary och Secondary ska ha bekräftat transaktionen innan kunden får kvittot utskrivet av ombudets terminal. I denna kommunikation är informationen krypterad, trots att den egentligen kanske inte behöver vara det, eftersom den sker över ett eget X25-nät (Closed User Group). Informationen är inte särskilt intressant för en obehörig, eftersom dragningen ännu inte har ägt rum.

Fågel och fisk gör kommunikationen säker
Kommunikationen går på två olika vägar till och från huset i Sundbyberg. En kommunikationslänk finns i marken och en på taket. Därmed är risken minimal för att spelet skulle kunna avbrytas på grund av fel eller avbrott i kommunikationen.
– Om kabeln skulle bli avgrävd här i Sundbyberg klarar vi oss genom radiolänken på taket, säger Henrik Engström. Däremot förekommer det lokala avbrott ute i landet av liknande skäl. Men sådana innebär bara att ett enskilt ombud blir avstängt.

Dragningen av exempelvis Lotto sker på lördagar. En viss tid före dragningen är det spelstopp. Då stängs ombudssystemet gentemot ombuden. Spelstoppet för Lotto infaller på lördagar klockan 15.30. Dragningen sker sedan i en dragningsmaskin med vägda bollar. Dragningsmaskinen är fysiskt inlåst mellan dragningarna. Lotteriinspektionen har också kontrollerat och typgodkänt dragningsmaskinen.

De bollar som används i maskinen finns i inspektionens förvar. De kontrollväger även bollarna hos Statens Provningsanstalt en eller ett par gånger per år. Vid varje dragning kommer en kontrollant från Lotteriinspektionen till Svenska Spel i Sundbyberg och ser till att allt går rätt till.
– Representanten för Lotteriinspektionen kommer med de kontrollerade bollarna i en väska när vi ska göra dragningen, säger Anders Edeholm. Hela bollproceduren och dragningen filmas varje gång. Sedan läggs bollarna tillbaka i en väska som Lotteriinspektionens representant tar hand om.

Ingen idé att försöka med något fusk
Lotteriinspektionen har en kopia på alla transaktioner som deltar i dragningen.
– Därmed kan ingen lägga in en rad i systemet efter dragningen och vinna, något som annars kanske skulle kunna göras av exempelvis en anställd på Svenska Spel, säger Lars Broman. Lotteriinspektionen skulle upptäcka det.

Teoretiskt skulle vissa anställda på Svenska Spel kunna gå in och ändra en egen rad i systemen,
så att den ger vinst. Men då måste han/hon efter dragningen hinna runt och ändra raden på tre olika ställen, plus i Lotteriinspektionens system.
– För att det ska fungera måste personen ha en medbrottsling i Lotteriinspektionen, säger Anders Edeholm. Om konspirationen är tillräckligt stor skulle kuppen teoretiskt kunna lyckas, men så avancerade konspirationer är osannolika. I princip är det omöjligt att lura systemen.

När dragningen är gjord måste Svenska Spel ta fram de rätta raderna.
– För detta ändamål har vi två olika system där olika programmerare har skapat granskningslogiken, säger Lars Broman. Detta för att minimera fel som beror på den mänskliga faktorn.

Dessa system kontrollerar hur stor spelomgångens omsättning är och hur många vinnare det finns i varje vinstgrupp.
– På detta sätt räknar vi ut vad vinstbeloppen blir, fortsätter han. En viss procent i de olika spelen går till vinster. Dessa fördelas till respektive vinstgrupp och till de enskilda vinnarna. Allt detta måste fungera helt felfritt.

I nästa steg skapas vinstutbetalningsfilen, så att vinnarna kan hämta sina vinster hos ombuden.
Vinnaren kommer in med sitt kvitto till ombudet. Terminalen läser av serienumret och talar om ifall det är vinst eller inte.
– Kunden kan se på maskinens display att det är vinst, säger Lars Broman. Dessutom skriver maskinen ut ett vinstkvitto. Detta för att minska risken för att något ombud skulle försöka knycka vinsten från kunden. Jag säger inte att det finns oärliga ombud, men även en sådan möjlighet måste finnas med som ett led i säkerhetskedjan.

Vinsten måste lösas ut inom 90 dagar. Vinster på upp till 1 000 kronor måste utbetalas av ombuden. För vinstbelopp på mellan 1 000 och 10 000 kronor får ombudet avgöra om han/hon ska betala ut vinsten eller om en bank ska göra det. Om beloppet överstiger 10 000 kronor hänvisar systemet till en bank. Om vinsten är högre än 10 miljoner kronor får vinnaren komma till Svenska Spel i Sundbyberg och ta emot pengarna personligen.

En förlorad transaktion innebär katastrof
Om ombudet utbetalar vinsten registreras detta i ombudssystemet. Detta belopp får ombudet tillgodoräkna sig i sin redovisning gentemot Svenska Spel. En gång per vecka faktureras ombuden. Normalt sett är det ombuden som är skyldiga Svenska Spel pengar, eftersom de har sålt en mängd spel. Nettot är försäljningen minus provision och utbetalade vinster. Denna process är fristående i systemet och fungerar som en ekonomisk avstämning i vilket företag som helst.
– Men vi får aldrig tappa en transaktion, säger Lars Broman. Driftsäkerheten måste vara hög. Det tickar in ungefär 200 000 kronor per minut varje fredag eftermiddag. Om systemet står stilla i tio minuter förlorar vi mycket pengar.

Internetspelen introducerades i maj 1999. Då var inte omsättningen stor. Men därefter har den fördubblats varje år. I dag uppgår årsomsättningen till närmare 300 miljoner kronor, vilket är ungefär 3 procent av Svenska Spels totala omsättning för skicklighets- och turspel på 11 miljarder kronor. Omsättningen på Internetsidan förväntas fortsätta öka lika kraftigt som hittills.

Utvecklade eget system
När Internet skulle börja användas som ny spelkanal behövdes ett nytt system. Efter en översyn av vad marknaden hade att erbjuda valde Svenska Spel att utveckla ett eget system.
– Vi insåg att det har stora fördelar att ha en egen utveckling, och att snabbt komma ut på banan, säger Lars Broman.

Successivt bygger Svenska Spel upp detta system som heter Interactive Transactions System, ITS. I dag hanterar det den del av spelverksamheten som sker på Internet. Det kommer snart också att hantera spel som går över mobiltelefoni och senare även digital-TV. Parallellt med uppbyggnaden av detta system pågår ett stort projekt som går ut på att avveckla det nuvarande ombudssystemet. När det har skett kommer även ombudsspelverksamheten att gå över till ITS. Det nya systemet finns påhuvudkontoret i Visby.
– Nu har vi kommit till ett läge när de flesta av våra skicklighets- och turspel finns i internetsystemet, säger Lars Broman. Varje gång vi i dag behöver ändra i något av våra spel, måste vi göra det i två system.

För att kunna spela måste kunden ha ett avtal med Svenska Spel. Det går att anmäla sig på Svenska Spels hemsida (svenskaspel.se).

Kunden skriver in alla uppgifter som sedan skickas till Svenska Spels kunddatabas. Uppgifterna kontrolleras mot SPAR-registret (Statens Person- och Adressregister). Kunden anger själv sin sexsiffriga pinkod.

Det snabbaste och enklaste sättet att bli avtalskund är att redan ha en Internetbank, vilket gör det möjligt att fylla på med pengar i ett eget spelkonto hos Svenska Spel. Det är också där vinsterna hamnar. När kunden registrerar sig ska han/hon uppge sitt bankkontonummer. Detta går sedan inte att ändra via Internet, utan måste vid behov göras i direktkontakt med Svenska Spel.

Om någon skulle lyckas ta sig in på en annan spelares konto går det således inte att ändra på kontonumret för egen vinning.
– Om du har en Internetbank kan du bli kund hos oss på några minuter, säger Lars Broman. Sedan är det bara att logga på och börja spela. Spelkostnaden dras från ditt spelkonto.

Spela på Internet OK för de flesta spelen
När kunden ska spela går han/hon in på hemsidan och identifierar sig med sin pinkod. I dag går det att spela Stryktipset, Keno, Bomben, Italienska Stryktipset, Lången, Lotto, Joker och Måltipset på Internet. Kunden fyller i spelkupongen elektroniskt. Sedan trycker han/hon på "Spela!"

Därefter följer ungefär samma process som när motsvarande information går från ombuden till Svenska Spel. I detta system används en klusterlösning för att garantera tillgänglighet och redundans. Maskinerna står i var sin ände av huvudkontoret i Visby. All trafik mellan kunden och Svenska Spel krypteras med en 128-bitars nyckel.

Hotbilden för spelet på Internet liknar den som gäller för Internetbanker. Systemet drabbas av generella skanningar på Internet av hackare som letar efter sårbarheter. Systemet är också skyddat av brandväggar, utöver krypteringen. Därutöver beställer Svenska Spel regelbundna säkerhetsgranskningar av sin arkitektur och teknik av externa företag.
– Vi kan säkra våra system hur mycket som helst, men det finns alltid en risk för att det kommer en ny bugg, till exempel i form av ett programfel i det underliggande operativsystemet eller databasprogrammet, säger Henrik Engström. Men vi följer med vilka nya buggar och säkerhetsbrister som dyker upp på marknaden och bedömer om de är relevanta för oss.

Svenska Spels Internetspel har pågått i fyra år utan att några allvarligare incidenter har inträffat. ITS saknar i dag nödvändig ombudsfunktionalitet, som att kunna ge provision och rapporter till ombuden. Denna funktionalitet kommer att läggas till i samband med att ombuden får nya terminaler.
– Detta är ett stort arbete som vi räknar med kommer att vara klart om två år, säger Lars Broman. Det sker parallellt med "business as usual". Därför har vi rekryterat utvecklingsresurser under det senaste året, så att vi själva har bemanning nog för att kunna ta detta ansvar.

– Vårt existensberättigande hänger på hur vi bedriver spelverksamheten. Omvärlden måste kunna känna ett orubbligt förtroende för oss. Vi har krav på oss från vår ägare att verksamheten bedrivs på ett säkert och ansvarsfullt sätt. Det är också grunden för vår affärsidé, sammanfattar Henrik Engström.


Text: Måns Widman Foto: Andreas Eklund
Artikeln återfinns i Säkerhet & Sekretess nr 6 2003.

Läs mer:
På Svenska Spels hemsida kan du läsa mer om spel.

Titta in här om du vill läsa mer om den säkerhetsstandard som World Lottery Association har tagit fram (WLA Security Control Standards), den enda internationellt erkända säkerhetsstandarden i lotterivärlden.



Automater största spelet
Restaurangspelen Jack Vegas och Miss Vegas har vuxit till Sveriges enskilt största spelform. den omsatte sex miljarder kronor förra året.

Det finns drygt 7 000 värdeautomater på cirka 2 000 restauranger och pubar och 100 bingohallar runtom i landet. Maximalt fem apparater får det finnas per ställe, enligt regeringens tillstånd.
– Det är viktigt att automaterna betalar tillbaka rätt utdelning till spelarna, säger Henrik Engström. De är inställda på en utdelning som ligger på cirka 92 procent.

Programvaran i värdeautomaterna är sigillmärkt för att skyddas mot manipulering. Om någon till exempel försöker använda ett felaktigt mynt stoppas spelet. Anta att en spelare har stoppat in en hundralapp i maskinen och spelat tills det bara är fem kronor kvar. Sedan drar han ut kontakten och säger till personalen att han hade 250 kronor kvar i automaten.
– Men då automaten slås på igen har den registrerat att det bara var fem kronor kvar när den slogs av. Automaten vet hela tiden vad som har hänt.

På varje restaurang är automaterna kopplade till ett lokalt nätverk och en kontrollenhet. Denna enhet rings upp varje natt av Svenska Spels centralsystem för restaurangspel och tömmer den på spelinformation. Detta är en ganska normal ekonomisk kommunikation som inte kräver mer än normal säkerhet.

Fakta

Svenska spel står för 53 procent av den totala spelmarknaden i Sverige.
Företaget ägs av staten och sorterar under finansdepartementet. AB Svenska Spel bildades den 1 januari 1997 då de två statliga bolagen Tipstjänst och Penninglotteriet slogs samman. Huvudkontoret ligger i Visby, men en stor del av verksamheten finns i Sundbyberg. Totalt arbetar knappt 600 personer på Svenska Spel, plus cirka 850 i dotterbolaget Casino Cosmopol.

Svenska Spels spelprodukter vid sidan av dess internationella kasinon är följande: Brasilianska Stryktipset, Greyhound, Italienska Stryktipset, Jack Vegas, Joker, Keno, Lotto, Lotto Express,
Lördagsgodis, Miss Vegas, Måltipset, Oddset Bomben, Oddset Lången, Oddset Matchen, Oddset Mixen, Oddset Toppen, Penninglotteriet, Skrap-Bingo, Skrap-Pyramid, Sportbagen, Stryktipset, Söndagsbingo, Tia, Triss och Viking Lotto.

År 2002 omsatte Svenska Spel hela 17,7 miljarder kronor. Andelen som gick tillbaka till vinnarna var omkring 10 miljarder kronor.

Företagets totala vinst uppgick till 4,2 miljarder kronor, pengar som till allra största delen gick tillbaka direkt in i statskassan.

Svenska Spels produkter återfinns hos cirka 6 800 ombud och omkring 2 000 restauranger och pubar samt cirka 100 bingohallar runtom i landet.


Whitepaper


Slumpgen 1

PASSA PÅ!

Här är det viktigaste inom e-handel just nu



Artikelkommentatorerna ansvarar själva för sina inlägg.

Regler för inlägg i artikelforumet

Kommentatorn ansvarar själv för sina inlägg.
Vi har nolltolerans mot inlägg som innehåller diskriminerande uttalanden, personliga påhopp eller språk som kan uppfattas som stötande. Även poänglösa datorkrigsinlägg och inlägg som är off topic tas bort. Brott mot reglerna kan leda till permanent avstängning.

IDG förbehåller sig dessutom rätten att i varje enskilt fall bedöma huruvida ett inlägg ska tas bort, även om det inte faller under någon av reglerna ovan.

Upprepat postande av olämpliga inlägg kan medföra avstängning från artikelforumen.

Frågor? Mejla idg.se@idg.se

Läs mer om vår policy i diskussionsforum


Rekryterar just nu

Utvalda whitepaper

De 10 BYOD-orden
Server-as-a-Service
Flasha med närminnet

Nyhetsbrev

Anmäl dig till vårt dagliga nyhetsbrev!

Morgonens viktigaste it-nyheter och Dagens Dilbert

Please don't insert text in the box below! Please don't insert text in the box below! Villkor

Nyheter

- PC för Alla:

Nyckel

FBI: ”Mobiltelefoner
bör ha bakdörrar”



- PC för Alla:

Anna Troberg

"Den tekniska överklassen ser ner på kvinnor"


- Computer Sweden:

Google Apps

Därför dissar staten Google Apps

- CIO Sweden:

ebola

Så kan robotar användas i kampen mot Ebola


- TechWorld:

Dropbox

Förvirring kring påstått Dropboxhack


- Computer Sweden:

IBM slutar tillverka processorer


- M3:

Samsung processor

Här är namnet på Samsungs nya 64-bitarsprocessor

- M3:

smartklockor

”Microsoft tänker släppa en smart klocka”


- M3:

Sense Mother

Smart mamma med koll


- PC för Alla:

Snapchat

Så ska Snapchat visa annonser


- Internetworld:

julklappar

E-jultomten får gott om tid att leverera


- CIO Sweden:

Data

4 cio:er svarar: Hur värderar du data?


- TechWorld:

Kali Linux

I hackarens verktygslåda: Kali Linux

- CIO Sweden:

Annika Steiber

Hon lär dig leda
som Google


- TechWorld:

Nickel

Teknikens byggstenar: Ni, Cu och Zn


- TechWorld:

moderkort

Heta moderkort
genom tiderna


- Computer Sweden:

gammal dator

Historien om bärbara datorer - "utvecklingen har bromsat upp rejält"


- Computer Sweden:

Anonabox

Anonabox - framtida
säkerhetsjätte eller bluff?


- Computer Sweden:

Elin Sundh

Nu är hårdvaran mogen för mjukisar

Nyhetsbrev
Kontakta oss
Postadressen är:
IDG.se, Karlbergsvägen 77, 106 78 Stockholm

Telefon (växel): 08-453 60 00

Ansvarig utgivare: Carl Grape



Om IDG.se
Copyright © International Data Group