Fyzická osoba podnikající
Kontrola zabezpečení osobních údajů při provozování online hry
Na základě ohlášení porušení zabezpečení osobních údajů a stížnosti provedl Úřad kontrolu, jejímž předmětem bylo zejména zabezpečení osobních údajů zpracovávaných v souvislosti s provozováním online hry. Kontrolovanou osobou byl provozovatel této online hry.
Kontrolující zjistili, že vůči herním serverům byly provedeny DDoS útoky. První útoky byly úspěšné a vyřadily servery z provozu. Provozovatel hry proto provedl opatření pro vylepšení zabezpečení, avšak i další útoky byly úspěšné. Útočník poté nabídl provozovateli, že po zaplacení určité částky ukončí útoky a pomůže mu při zabezpečení serverů. Provozovatel souhlasil a zaplatil požadovanou částku. Útočník mu proto poskytl firewall, který provozovatel po prověření nahrál do zdrojového kódu svého herního serveru.
Takto upravený zdrojový kód byl odolnější vůči DDoS útokům, provozovatel však neodhalil tzv. zadní vrátka do systému (backdoor), konkrétně skript, který byl skrytě umístěn v obrazovém souboru. Pomocí tohoto skriptu byl útočník schopen získat databázi hráčů předmětné online hry. Útočník poté databázi zveřejnil a přesměroval herní web na své internetové stránky. Předmětná databáze byla tvořena více než čtyřmi a půl tisíci účty a byla na internetu dostupná zhruba jednu a půl hodiny. Databáze obsahovala zejména následující druhy osobních údajů: uživatelské jméno, heslo v zašifrované podobě, telefonní číslo, e mailová adresa, IP adresa a informace uvedené v databázi pro platby (aktuální stav platby, počet zakoupené virtuální měny, jméno účtu, ze kterého byla platba vytvořena, čas a způsob platby).
Provozovatel ihned přerušil provoz herního i databázového serveru a následně věc ohlásil Úřadu, oznámil ji dotčeným subjektům údajů a podal trestní oznámení.
V návaznosti na výše uvedené dospěli kontrolující k závěru, že kontrolovaná osoba nezajistila odolnost systému a služeb tím, že přijala ochranné řešení (firewall) od původce DDoS útoků, ve kterém byl inkorporován tzv. backdoor, kterým se útočník dostal k databázi hráčů. Tato databáze byla následně zveřejněna na internetu. Kontrolovaná osoba tak nepřijala dostatečná technická a organizační opatření pro zabezpečení osobních údajů svých uživatelů.
Kontrolující dále zjistili, že kontrolovaná osoba využívala dva zpracovatele osobních údajů, a to poskytovatele hostingu ve formě cloudového úložiště a technika projektu, aniž by s nimi uzavřela příslušnou zpracovatelskou smlouvu ve smyslu čl. 28 odst. 3 nařízení (EU) 2016/679.
Úřad zjistil, že kontrolovaná osoba výše uvedeným jednáním porušila povinnosti stanovené čl. 5 odst. 1 písm. f) (integrita a důvěrnost), čl. 5 odst. 2 (princip odpovědnosti), čl. 28 odst. 3 (zpracovatelská smlouva) a čl. 32 (zabezpečení osobních údajů) nařízení (EU) 2016/679.
Vzhledem k tomu, že kontrolovaná osoba předmětnou online hru aktuálně neprovozuje, Úřad neuložil opatření k odstranění zjištěných nedostatků.
Za toto jednání Úřad uložil kontrolované osobě pokutu ve výši 25 000 Kč.
Kontrolu řídil inspektor Ing. Josef Vacula.
Doporučení
V případě, že se Váš počítačový systém nebo program stane předmětem útoku, oznamte věc Policii České republiky a v případě, že jsou dotčeny osobní údaje, vyhodnoťte, zda máte povinnost řídit se články 33 a 34 nařízení (EU) 2016/679 (povinnosti při porušení zabezpečení osobních údajů). V žádném případě však útočníkovi nebo jinému neznámému původci neumožňujte se podílet na zvyšování bezpečnosti Vašeho systému tím, že využijete program nebo soubor, který vám dodá.