‘De balans vinden tussen beveiliging en spelplezier is niet evident’
Een e-commercebedrijf met miljoenen transacties per week en een naam die ondertussen iedereen wel kent. Data News vroeg Piet Van Petegem, CTIO van de Nationale loterij, naar de IT-infrastructuur achter dat alles.
Waar past IT in het plaatje van de Nationale Loterij?
Piet Van Petegem: Eigenlijk berust het grootste gedeelte van onze activiteiten en processen op IT. Onze maatschappelijke rol vanuit het toekennen van subsidies is daar een van de uitzonderingen, hoewel het dossierbeheer rond subsidies en sponsoring wel in onze platformen zit.
Mag ik jullie een techbedrijf noemen?
Van Petegem: We hebben daar wel veel van weg. We zijn een groot e-commercebedrijf, maar we zijn ook een NV van publiek recht. We zijn erg transactioneel en datagedreven, en dat in twee kanalen: retail en online. De verhouding daar is dat 25 procent van de omzet van online komt, terwijl 75 procent van de transacties nog steeds in de fysieke verkooppunten gebeuren.
Is dat veranderd tijdens de coronacrisis? Zijn er toen niet veel mensen naar online gegaan?
Van Petegem: In het begin van de lockdown moesten de dagbladwinkels twee weken lang dicht. Toen hebben we doelbewust gekozen om niet voluit de online kaart te trekken. Krantenwinkels zijn onze belangrijkste ambassadeurs. We hebben retailers in die periode ook ondersteund met bijvoorbeeld een premie voor alcoholgel en plexiglas. We hebben wel gezien dat er toen meer spelers online speelden, en er ook nieuwe spelers bij kwamen, maar dat ze minder inzetten per keer. Onze spelers zetten gemiddeld zo’n vijf euro in, toen was dat vier euro. Maar de totale omzet bleef dus wel gelijk. De verkoop in de winkels is trouwens ook snel terug op peil gekomen, je zag dat mensen opnieuw hun Lotto-bulletin of hun krasbiljetten gingen oppikken.
Zowat het enige wat bij ons niet in de cloud draait, is de loterijsoftware
Bent u intern tegen die lockdown aangelopen?
Van Petegem: We waren in november 2019 klaar met de migratie naar Microsoft Office 365 en tegen januari 2020 hadden we een VPN-netwerk opgebouwd met voldoende bandbreedte voor iedereen. Dus toen die beslissing viel, kon iedereen bij de Nationale Loterij veilig thuiswerken. We hadden bij de introductie van Office 365 overigens nog een hoop opties laten aanstaan, en dan merkte je dat mensen al waren begonnen met te experimenteren met Teams en andere tools. We wilden dat niet meteen terug dichtdraaien, en dat kwam ons uiteindelijk goed van pas tijdens de covidperiode.
Zitten jullie met veel processen in de cloud?
Van Petegem: Ik ben begonnen in november 2017 en een van de eerste dingen die we gedaan hebben is de architectuur onder de loep nemen. Toen we die oefening deden, hadden we de snelheid van de adoptie naar de cloud wellicht onderschat. Ondertussen is dat aangepast en is er wel een ‘cloud first’ strategie. Zowat het enige wat bij ons niet in de cloud draait, is de loterijsoftware. Maar onze andere platformen, zoals SAP, Microsoft Dynamics en Adobe Experience Management draaien wel in de cloud. Daarmee zijn we state of the art. We zijn niet echt met baanbrekende technologie bezig, maar voor onze applicaties zitten we wel bij de grote jongens. Dat is ook nodig. We draaien een omzet van zo’n 1,530 miljard euro. Daarvoor verwerken we 438 miljoen transacties per jaar in onze back-end. Alleen al voor Lotto en EuroMillions zijn er 313 miljoen transacties per jaar, dat is bijna een miljoen transacties per dag. Vorige week hadden we een grote jackpot, daarvoor waren er 2,34 miljoen transacties op een dag, met een piek van 4.340 transacties per minuut.
Hoe lang bestaat jullie online poot al?
Van Petegem: Die is gestart in 2010. We werken graag richting het begrip ‘one channel’. We willen de speler online en in retail op een gelijkaardige manier kunnen bedienen. Da’s niet evident, omdat de Nationale Loterij in de fysieke punten eerder een anonieme speler heeft, terwijl de spelers in het digitale kanaal volledig gekend zijn. We volgen hen van a tot z, weten op welke pagina’s ze klikken en wanneer ze afhaken. Big data is belangrijk voor ons, omdat onze sales en marketing sterk datagedreven zijn.
In juni lanceren we een nieuw portal dat op Adobe Experience Manager draait om die speler nog beter te leren kennen en te begeleiden vanaf het pre-play moment, dus voordat hij speelt, tijdens het spelen en dan ook nog post-play om nazorg te garanderen.
Komt u dan niet in de buurt van goksites?
Van Petegem: Neen, we zijn een ander soort bedrijf. Loterijspelen bestaan al erg lang en worden gekenmerkt door veel spelers met een kleinere inzet, gemiddeld vier à vijf euro. Wij zitten niet in de categorie die verslaving met zich meebrengt. In het fysieke kanaal moet je al op weg gaan om mee te spelen. In het online kanaal hebben we heel veel mechanismes ingebouwd om te zorgen dat er geen gokverslaving kan optreden. Je kan bijvoorbeeld maar een beperkt bedrag overschrijven van je zichtrekening naar je spelersrekening. Er zijn verder nog enkele remmende moderatoren ingebouwd om spelers te beschermen door limieten op hun spelgedrag te zetten.
Wij kregen van de overheid de opdracht om mensen met interesse in een kansspel te leiden naar verantwoorde spelen in een veilige omgeving. We doen dan ook veel analyses op spelersgedrag. Zo’n 99,7 procent van onze online spelers zit daar in een ‘no risk’ zone. Van die overige 0,3 procent zijn er een beperkt aantal bij die een hoog risico vormen en die dus tegen die limieten in het systeem aanlopen.
Zo’n site lijkt me ook erg gevoelig voor privacy- en securitykwesties.
Van Petegem: Het platform is sterk beveiligd. We hebben een ISO 27001 certificatie en een certificaat van de World Lottery Association, dat nog strenger is dan dat van ISO. Dat heb je nodig om te mogen toetreden tot het EuroMillions consortium. Voor privacy hebben we zeker veel aandacht. Rond security zelf passen we alle best practices toe, zoals penetrationtesting, vulnerability testing, threat hunt testing, red teaming en we hebben ook bug bounty programma’s. We hebben meerstappenauthenticatie ingebouwd, maar we moeten ook voorzichtig zijn dat we de player journey niet te complex maken voor de speler. Dat evenwicht bewaren tussen goede beveiliging en spelplezier is niet evident.
Wat zijn voor security uw grote uitdagingen? Gaat er iemand een winnend lottoformulier proberen te onderscheppen?
Van Petegem: (lacht) Men probeert dat misschien, maar het gaat niet lukken. De Nationale Loterij hecht veel belang aan de anonimiteit van haar grote winnaars. Zij worden opgevolgd door onze cel Winnaarsbegeleiding. Alles daarrond wordt beheerd in een app die heel geïsoleerd zit en goed beveiligd wordt. Weinig mensen krijgen daar toegang toe en de identiteit van die winnaars is een goed bewaard geheim.
Anderzijds zit er veel beveiliging in het spel zelf. Als je een lottoformulier in de winkel haalt, zitten daar al vijf à zes securitycomponenten op waarvan mensen zich niet altijd bewust zijn. Het begint al bij het type papier en de bedrukking. Veel van die beveiliging zit ook standaard in onze loterijsoftware.
Maar ook wij worden aangevallen, natuurlijk. Tot op heden hebben we goed standgehouden, ondanks dagelijkse pogingen om op onze systemen binnen te geraken. We hebben wel enkele kleinere security-incidenten gehad, bijvoorbeeld met spelersrekeningen die werden overgenomen. Maar we hebben daar lessen uit getrokken en onder meer een proceswijziging ingevoerd zodat je de bankrekening van zo’n spelersaccount niet zomaar kan wijzigen.
Hoe werkt die loterijsoftware? Zo’n lottotrekking is toch met balletjes?
Van Petegem: Het geluk en het toeval zijn de hoofdelementen in dat verhaal, en we doen er alles aan om de trekkingen correct te laten verlopen. Die balletjes worden om de zes maanden gecertifieerd door FOD Economie, om zeker te zijn dat ze allemaal hetzelfde gewicht hebben en zo meer. Bij alle handelingen komt er ook steeds een gerechtsdeurwaarder aan te pas. Welke cijfers uit de trommel vallen, dat is dus puur toeval. Het is ook de reden waarom wij als medewerkers mogen meespelen, want we kunnen niets manipuleren aan dat verhaal. Ook niet aan de loterijsoftware die daarachter zit. Wanneer we de verkoop afsluiten, brengt de software alle inzetten bij elkaar, past ze daar hash-algoritmes op toe, en worden er allerlei sleutels en checks ingebouwd om die bestanden te beveiligen. Dan heeft de trekking plaats en worden uit dat bestand de winnaars gehaald.
Via algoritmes gaan we dan ook berekenen hoeveel er wordt uitbetaald. Bij een trekking krijgen de laagste rangen een vast bedrag uitbetaald, maar de hoogste zitten in een jackpot. De bedragen en percentages daar zijn niet op voorhand te bepalen, want dat hangt af van de inzet. Daar zitten ook algoritmes voor in die software.
Wereldwijd zijn er zo’n vier leveranciers voor loterijsoftware. Die leveren een pakket waarin alle trekkingsspelen zitten. Voor krasbiljetten zitten ook de lotenplannen in dat platform. Dat centrale platform verwerkt ook die grote hoeveelheden transacties.
Die software is de enige die nog in jullie datacenter draait. Is dat een soort legacy software?
Van Petegem: Dat kan je vergelijken met de betalingstoepassingen of krediettoepassingen van een bank. Die software is bijzonder robuust, en het platform heeft ook een availability van honderd procent. In mijn vijf jaar bij de Nationale Loterij is dat nooit uitgevallen. Is dat dan legacy? Je ziet wel dat er daar de laatste jaren te weinig innovatie is gebeurd. We moeten binnenkort bekijken of we dat platform gaan vernieuwen, dus we praten al een tijdje met die leveranciers om te zien hoe zij kijken naar bijvoorbeeld hardware. De terminals in onze 7.763 verkooppunten worden namelijk ontwikkeld en geproduceerd door die leveranciers. We willen daar graag de kostprijs naar beneden halen door standaard IT-materiaal te gebruiken. Dat, samen met cloudondersteuning, zou voor ons een mooie moderne oplossing vormen.
Die cloudification is vooral belangrijk voor de pieken in de verkoop. Met een hogere jackpot kunnen we op momenten gaan naar pieken van 2,30 miljoen transacties of meer per dag, normaal is dat iets van een miljoen. We zijn ervan overtuigd dat de cloud ons de schaalbaarheid kan geven die nu vanaf de initiële set-up in de infrastructuur zit. Als je weet dat die contracten vier tot acht jaar kunnen lopen, waarbij we een projectie over meerdere jaren moeten maken voor de performantie, dan weet je dat er heel veel capaciteit beschikbaar is die vaak onderbenut wordt. Met de cloud hopen we te schakelen op momenten van exceptionele jackpots, bijvoorbeeld.
Jullie hebben dus een paar jaar geleden moeten beslissen hoeveel mensen er vandaag tegelijk hun lottoformulier binnen brengen?
Van Petegem: Ja, maar we nemen daar een grote marge op. Vorig jaar was er een piek van 7.200 transacties per minuut, maar de infrastructuur is gebouwd voor rond de dertigduizend per minuut. We nemen daar geen risico’s.
Hoe groot is uw IT-departement?
Van Petegem: Er staan 75 mensen op de payroll, we hebben momenteel ook 25 open vacatures. Op structurele wijze werken we met een kleine dertig externen, dus zo’n 105 IT’ers. Door de vele projecten zijn er daarnaast nog dertig à veertig freelancers actief, en voor onze activiteiten in de cloud hebben we contracten met managed services providers die de klok rond ondersteuning bieden.
Wat zijn uw grootste werven voor de toekomst?
Van Petegem: De grootste werf is de nieuwe portal die in juni live gaat. Die brengt de drie bestaande websitefuncties bij elkaar: ons online spelplatform, onze corporate website en ons membership programma. Dat laatste is een getrouwheidsprogramma waarmee we ook de retailspeler beter willen leren kennen. De nieuwe portal is een grote werf, omdat we die via insourcing zelf bouwen. We willen de interactie met de speler zelf in handen hebben.
Daarnaast zijn we ook bezig met de opvolger van de loterijsoftware, waar in de komende twee jaren een beslissing moet vallen. Data analytics blijft ook een grote uitdaging. Na de lancering van die nieuwe portal is het mijn droom, ondertussen gedeeld met iedereen, om dat spelplatform sterk te personaliseren en aan te passen aan de individuele speler. We willen bijvoorbeeld dat als je vaak met EuroMillions meespeelt, je die jackpot bovenaan op de pagina vindt wanneer je inlogt, terwijl dat voor iemand anders bijvoorbeeld Lotto is. Daarvoor moeten we real time data-analyses doen. De bouwstenen daarvoor zijn aanwezig, maar we moeten daar nog verder aan werken.
Piet Van Petegem
1987—2000: Verschillende project management- en IT-managementfuncties
Nov. ’00—Dec. ’02: Corporate ICT manager Koramic Building Products
Jan. ’03—Nov. ’06: IT director VRT
Mei ’07—Mei ’08: IT manager Joris Ide
Jun. ’08—Okt. ’15: CIO bpost bank
Feb. ’15—Okt. ’15: CEO Krefima
Nov. ’15—Sep. ’17: Managing director Record Bank
Sinds Nov. ’17: CTIO Nationale Loterij
Fout opgemerkt of meer nieuws? Meld het hier