Série článků o „losovačkách“ načrtla možnost ovlivněného předvýběru nabídek z veřejných zakázek o celkové výši 3 mld. Kč pomocí švindlujícího losovacího zařízení. To teoreticky mohlo vyřadit všechny vážné uchazeče a v soutěži ponechat jen vzájemně spřátelené subjekty nebo outsidery, tedy vybrat vítěze.

Zda tomu tak bylo, by si vyžadovalo podrobnější analýzu a přístup k dokumentům, zde se soustředím na vhodné vlastnosti techniky.

Použitý přístroj CENTLOZ002 je příkladem, jak by důvěryhodné losovací zařízení nemělo vypadat. Vývojářem jeho klíčové výpočetní části nejen není renomovaný výrobce, ale pod závojem obchodního tajemství není znám vůbec. Technicky se mělo jednat o vybrakovaný notebook bez klávesnice a síťových rozhraní, s na klíč vyvinutým softwarem, uzavřený do zvláštní plastové skříňky, opatřené plastovou plombou z hypermarketu. Ovládání zajišťovala tři tlačítka. Jeho operátor se prokazoval „certifikátem“ od Elektrotechnického zkušebního ústavu (EZÚ). Po začátku vyšetřování přístroj zmizel.

Jako uživatelé pécéček si zpravidla myslíme, že počítač plní naší vůli.

Šachový iluzionistický stroj Turek, sestrojený bratislavský rodákem von Kempelenem r. 1771. Používán pro zábavu císařských dvorů a show-byznys až do r. 1854, přičemž porazil řadu celebrit včetně císaře Napoleona Bonaparta.
Ačkoli předvaděč na počátku otevřel všechna dvířka, včetně menších zadních pro průhlednost, uvnitř byl skrytý operátor, který táhly a robotickou paží prováděl tahy.
V korpusu postavy byl i komínek pro větrání a odtah ze svíčky uvnitř.

Možná ne bezprostředně, protože nejsme autory jeho programů nebo aspoň ne všech, ale ty my ovládáme. Důvěřujeme výrobcům hardware i software, že v dobré víře učinili vše, aby se naše úsilí a vůle mohly nezkresleně realizovat.

Otázka, čí vůli počítač plní, je zásadní pro náš přístup k této technice.

Většinou výrobcům skutečně důvěřovat můžeme, ale pro některá použití jsou přítomnost zadních vrátek aj. disfunkce nepřijatelným rizikem.

Další a odlišnou otázkou je, zda jsme schopni si nezávisle ověřit činnost zařízení a nebýt odkázáni jen na slib výrobce. Úkol je to mnohem obtížnější.

Bezpečné zařízení (s ověřenou funkcí)

Pořídit si zařízení s ověřenou funkcí nicméně možné je, avšak značně dražší. Zatímco napsání software generujícího náhodná čísla na pécéčku může stát pět tisíc korun, vytvoření téhož v nezávislou zkušebnou ověřené verzi klidně pět milionů.

Prvním upozorněním je, že nestačí funkční testování. Tedy ověření toho, že zařízení pro konečnou sadu vstupů produkuje očekávatelné výstupy (např., že mačkání tlačítek produkuje náhodné řady čísel).

Je třeba ověřit, že za žádných okolností nezačne zařízení provádět nic jiného, než jsou deklarované funkce.

Takové zařízení musí být transparentní v každém ohledu. Počínaje návrhem, přes výrobu dodržující návrh a dohled nad výrobou, provedení s ochranou narušení své integrity, balením, dopravou, inicializací a korektní obsluhou. Podle míry a úrovně dodržených požadavků na taková kritéria lze rozlišovat míru záruk bezpečnosti takových zařízení. Volit ji od malé až po velmi vysokou, podle útočného potenciálu a výše chráněných zájmů.

Platí, že čím jednodušší zařízení je, tím spíše lze ověřit jeho funkci a udržet ekonomičnost ověření. Kupř. důvěryhodné elektronické losovací zařízení by cenově asi bylo optimální sestavit z tranzistorů a diod LED, a nikoli z příliš komplexního obecného notebooku. Při snímání blikání LEDek a losovacího tlačítka vysokorychlostní kamerou by pak možná i skeptik jako já mohl uvěřit, že v zařízení nejsou skryté další mikročipy, které provádí neplechy. Takové zařízení by mohlo vyjít včetně ověření na několik desítek tisíc korun.

Loni platící legislativa kladla na losovací zařízení zakázek jen obecné nároky „transparentnosti a nediskriminace“. Jakkoli je toto kritérium vágní, domnívám se, že podmínku transparence použité zařízení nesplnilo.

Losovací zařízení CENTLOZ. Foto převzato z HN dne 14.2.2013.

Certifikace

Výše uvedené zásady návrhu, výroby atd. lze rovněž nechat certifikovat. Spojení zvučného výrobce a certifikátu renomované zkušební laboratoře, postupující podle veřejně známé metodologie ověřování, poskytuje uživateli dobrou jistotu ověřené funkčnosti resp. bezpečnosti užívaného zařízení.

Certifikaci si však nechává provést výrobce a nikoli užívající zákazník, zde organizátor losování. Zpráva o zkoušce EZÚ (nikoli tedy formální certifikát), kterou si můžete prohlédnout např. v notářském zápise (str. 8) z jednoho losování, bohužel může laickou třetí osobu (včetně notáře, možná pak i ÚOHS) svou dikcí zmást. EZÚ prohlašuje, že výsledek zkoušky je:

  • Okolnost, jež určuje výsledek losování není předem nikomu známa a je takového druhu, že nemůže být provozovatelem ani další osobou ovlivněna.
  • Zařízení nevyužívá pro losování žádné ..ky ...o ...řízení (asi "žádné prvky mimo zařízení"), process probíhá pouze za pomoci instalovaného software uvnitř zařízení.

I postup EZÚ tedy byl málo odpovědný. Ústav prováděl zkoušky v rámci schématu nasazení, které asi nemá dobrý smysl využití, nikoli vůči výrobci a ve zkušební zprávě ani není uveden kontext zkoušky. Tedy vymezení, že zkouška proběhla na zařízení určité hardwarové a softwarové konstelace, ev. s určením metod, jimiž lze ověřit zachování této konstelace.

Losovací zařízení na trhu?

Abych byl fair, nepodařilo se mi vygooglit, že by ekvivalentní důvěryhodné losovací zařízení někdo běžně prodával. Asi se takto běžně nelosuje a není poptávka. Nejblíže účelem a výší rizik jsou zřejmě generátory náhodných čísel integrované do systémů on-line hazardních her. Ty bych se sám zdráhal hrát, ale jejich certifikát aspoň uvádí kontext certifikace (tj. disclamer: Zjištění statistické náhodnosti se nevztahuje na jiné softwarové a hardwarové složky, než které byly zkoušeny...).

Nemohu ani vyloučit, že CENTLOZ002 byl svébytný český pokus o tvorbu uživatelsky přívětivého losovacího zařízení s prvky imitace bezpečnosti. Obklopen neprofesionalitou byl však v každém případě.

Svépomocné fyzické prohlížení a následná kontrola jsou neúčinné

Účastníci losování někdy měli tendenci nechat zařízení otevřít a podívat se mu na zub. To by ale k zajištění transparence nepomohlo i kdyby jim to bylo umožněno. Pouze by byly k vidění další menší černé krabičky s nožičkami, zvané slangově švábi.

Operátor zařízení též nabízel odvoz zaplombovaného zařízení k následné kontrole do EZÚ. Ačkoli nabídka asi působila psychologicky dobře, byla bezcenná. Zařízení se může během převozu samomodifikovat do bezvadné verze.

Závěrečné poučení tedy je, že zařízení musí být transparentní předem, před svou činností, a takovým může být, i když do něj není vůbec vidět. Ale není to snadné ani levné a obezřetnost je namístě.


Série článků HN, z nichž autor pro tento blogpost čerpal informace:

25.2. Krabičku, jež rozhodovala o miliardách, nikdo nehlídal (registrace)

14.2. Stavební firmy Skanska a Alpine Bau žalují pochybné losovačky. Ve hře jsou miliardy

14.2. Dvě firmy žalují pochybné losovačky (registrace)

14.2. Losovačky míří k soudu. Ve hře jsou tendry za miliardy (registrace)

13.2. Zakázky za miliardy losovala tajemná krabička 

13.2. První třídou do světa losovaček: miliardy rozdělovala krabička, která záhadně zmizela (registrace)

13.2. My jsme jen čistili a plombovali - nic víc (registrace)