Polska gotowa na ochronę wyborów przed Rosją? Tak mówi minister. Diabeł tkwi w szczegółach

Po unieważnieniu pierwszej tury wyborów prezydenckich w Rumunii ze względu na działania Rosji, po raportach o wpływie Rosji na polityków podczas kampanii w Mołdawii pytanie o zabezpieczenie wyborów prezydenckich w Polsce przed rosyjską wojną informacyjną jest oczywiste.

Minister cyfryzacji Krzysztof Gawkowski zapewnia o gotowości państwa. Jednak kiedy zapytaliśmy o konkrety, okazało się, że wciąż nie rozwiązano najważniejszych problemów.

W ciągu kilkunastu pierwszych dni nowego roku pojawiły się dwa sprzeczne komunikaty rządowe dotyczące zagrożenia dezinformacją w Polsce. Pierwszy pochodził od wicepremiera Gawkowskiego. W wywiadzie dla „Gazety Wyborczej” pytany o zagrożenie wpływem rosyjskim na wybory prezydenckie w Polsce,

Zupełnie inne stwierdzenia pojawiły się w raporcie Zespołu ds. Dezinformacji rządowej Komisji ds. badania wpływów rosyjskich i białoruskich. W rekomendacjach napisano tam między innymi:

• „W celu przeciwdziałania wpływom z wrogich państw trzecich istnieje potrzeba podjęcia bardziej zdecydowanych działań, by identyfikować i lepiej rozpoznawać istniejący w cyberprzestrzeni czarny rynek sieci społecznościowych oraz źródła jego finansowania”.
• „Istnieje pilna potrzeba wzmocnienia potencjału kadrowego i analitycznego w instytucjach państwowych, których zadaniem jest przeciwdziałanie dezinformacji ze strony Rosji i Białorusi. Zagrożenia się intensyfikują, a więc rośnie potrzeba zbudowania spójnego systemu przeciwdziałania dezinformacji”.

Komisja zauważyła również, że nie ma państwowej strategii przeciwdziałania dezinformacji. Chociaż – dodajmy – powstaje Strategia Cyfryzacji Państwa 2035, w której kwestie te są wskazywane.

Sprawdzamy!

Jak więc jest naprawdę:

Postanowiliśmy sprawdzić. Na początku stycznia OKO.press przesłało do Ministerstwa Cyfryzacji osiem szczegółowych pytań dotyczących zapobiegania tego rodzaju scenariuszowi. Po dwunastu dniach oczekiwania dostaliśmy odpowiedzi.

Co z nich wynika? Przede wszystkim to, że całą odpowiedzialność za zabezpieczenie Polski przed ingerencją w wybory złożono na Instytut NASK oraz ABW.

Od dawna priorytetem działania NASK (który formalnie jest instytutem badawczym) nie jest dezinformacja, lecz dbanie o tak zwane „twarde” cyberbezpieczeństwo. I o ile jednostki zajmujące się cyberincydentami (włamaniami, atakami DDOS i innymi, bezpieczeństwem sieci komputerowych etc.) są tam budowane od dawna, o tyle

Ich aktywność jest już dziś widoczna. Rozpoczęto pierwsze kampanie społeczne, trwają szkolenia dla niektórych grup zawodowych. Jednak decyzja polityczna, by złożyć pełną odpowiedzialność za poradzenie sobie z problemem dezinformacji na budujące się działy instytucji, jest typowym „podrzuceniem małpy”.

Ta metafora znana jest wśród osób zajmujących się zarządzaniem, a oznacza po prostu przerzucenie problemu z siebie na kogoś innego. W efekcie przedstawiciele rządu pytani o zwalczanie dezinformacji wskazują na NASK. A NASK robi wszystko, by od ciężaru tej odpowiedzialności nie utonąć. Co prawda specjalny departament oraz pełnomocnika powołało również Ministerstwo Spraw Zagranicznych, ale nie słychać o bieżącej współpracy między MSZ a NASK w kontekście wyborów.

„Najlepiej nic nie mówić”

Włączenie ABW do działań zapobiegających operacjom dezinformacyjnym to dobry ruch. Problem w tym, że polski kontrwywiad nie zrozumiał jeszcze, iż musi komunikować się publicznie, jeśli chce wygrać z dezinformacją. Dokładnie tak, jak robią służby innych państw, choćby USA, Francji, Czech, a ostatnio także Rumunii. Tam przedstawiciele służb przedstawiają informacje na temat wykrytych zagrożeń, przestrzegają przed możliwymi fałszywymi narracjami, a w razie wykrycia dużej operacji przedstawiają publicznie swoje raporty.

Skutki tego podejścia doskonale widać w odpowiedziach z Ministerstwa Cyfryzacji, które otrzymało OKO.press. Można w nich przeczytać:

„W związku z wyborami prezydenckimi w Polsce (…) NASK przygotował plan działania, który obejmuje szerokie kampanie informacyjne, spotkania i szkolenia z przeciwdziałania dezinformacji. Ze względu na monitorowanie polskiej przestrzeni informacyjnej przez podmioty zewnętrzne (…), szczegóły podejmowanych działań pozostają niejawne”.

I drugi fragment odpowiedzi: „Agencja Bezpieczeństwa Wewnętrznego rozpoznaje i monitoruje zagrożenia dla bezpieczeństwa Polski, zgodnie z obowiązującymi przepisami. Szczegóły jej działań są niejawne”.

Bez informacji nie ma zapobiegania

To niejawne podejście jest poważnym błędem. Działania dezinformacyjne są widoczne i nikt ich nie ukrywa. Ukrywane są intencje, fakt oszustwa, ukrywają się sami dezinformatorzy. Ale dezinformacja płynie do nas szeroką rzeką. Nie da się zapobiegać jej wpływowi, nie informując społeczeństwa, co się dzieje, co może się wydarzyć i w jaki sposób reagować.

Nie chodzi przecież o to, by służby czy instytucje państwowe informowały, z kim rozmawiają, jakie pułapki zamierzają zastawić na Rosjan, ani by ujawniały wszystkie ustalenia. Ale powinny się sprawnie posługiwać metodą prebunkingu, która uchodzi obecnie za najlepszy sposób przeciwdziałania dezinformacji wobec dużych grup.

Następnie trzeba powiedzieć, jaka jest prawda, czyli dać autentyczne kontrargumenty. Obywatele, uprzedzeni o planowanej dezinformacji i wyposażeni w argumentację, stają się odporniejsi na fake newsy i manipulacje.

Jednak do stosowania prebunkingu potrzebna jest komunikacja, a nie powoływanie się na niejawność działań i planów.

Nad „gotowym” planem trwają prace

Dobrze, ale skoro minister Gawkowski zapewnia, że jesteśmy gotowi na każdy scenariusz, to jaki jest plan na wybory w Polsce?

„Do końca stycznia Ministerstwo Cyfryzacji przedstawi plan cyfrowej ochrony wyborów, nad którym trwają obecnie prace” – czytam w mailu z ministerstwa.

A więc sytuacja wygląda następująco: 2 stycznia minister zapewniał o gotowości państwa, zaś dwa tygodnie później okazuje się, że nad planem owej gotowości „trwają prace”. To dużo mówi o tym, jak naprawdę jesteśmy przygotowani na zagrożenie rosyjską (lub inną) ingerencją w wybory.

Mimo iż mail z odpowiedziami z resortu był bardzo długi, wskazano w nim nawet dziesięć paragrafów z obowiązujących ustaw (z czego większość z ustawy o ABW), na część pytań nie dostaliśmy odpowiedzi. Nie dowiedzieliśmy się:

• w jaki sposób państwo chce ograniczyć rozpowszechnianie dezinformacyjnych narracji na platformach społecznościowych, w tym przez influencerów;
• jak państwo zamierza reagować na płatne reklamy polityczne, zawierające nieprawdziwe przekazy;
• jakie są plany dotyczące portali internetowych szerzących dezinformację.

Zapytaliśmy również, w jaki sposób w okresie kampanii prezydenckiej przebiegać będzie komunikacja między państwem a mediami oraz państwem i obywatelami. Aby z jednej strony móc zgłaszać wykryte akcje dezinformacyjne, a z drugiej – szybko je weryfikować oraz informować wyborców o oszustwie.

Czy na ten scenariusz jesteśmy gotowi?

Dlaczego o to pytamy? Ponieważ na podstawie doświadczeń innych państw – Słowacji, Rumunii, Mołdawii, Finlandii czy Francji – łatwo wyobrazić sobie choćby taką sytuację. Oto w ostatnich dniach przed wyborami w sieci pojawia się fałszywa korespondencja, sfałszowane nagranie wideo lub audio, które uderzają w jednego z kandydatów. Są rozprowadzane błyskawicznie na wielu platformach społecznościowych. Do ich rozpowszechniania używane są także zhakowane strony internetowe mediów, samorządów i instytucji.

Na dodatek rosyjscy dezinformatorzy wiedzą, że najlepiej przeprowadzać takie akcje w czasie, gdy urzędy są nieczynne. Dlatego potrafią je realizować w nocy, w długi weekend czy w piątek wieczorem. W Polsce wystarczy wyobrazić sobie majówkę (dwa tygodnie przed wyborami), by zrozumieć, jakie skutki wyborcze może mieć dezinformacyjna operacja, uruchomiona na przykład nad ranem 1 maja.

Jak w takiej sytuacji będzie wyglądać reagowanie państwa, by ograniczyć wpływ fałszywego przekazu? Ministerstwo Cyfryzacji odpowiedziało nam następująco:

„Ośrodek Analizy Dezinformacji (OAD) NASK monitoruje polską infosferę codziennie w godzinach 7.00 – 18.00. Dyżury całodobowe pełni CERT Polska. W razie potrzeby OAD NASK zorganizuje dodatkowe dyżury. (…) Informacje o wykrytych akcjach dezinformacyjnych będą publikowane na stronie bezpiecznewybory.pl oraz przekazywane dziennikarzom podczas kontaktów roboczych. Dodatkowe informacje można znaleźć na stronie NASK: zglos-dezinformacje.nask.pl/”.

Potrzebny system ratownictwa, nie urząd

Brzmi nieźle, gorzej wygląda w praktyce. Po pierwsze: CERT Polska to zespół zajmujący się naruszeniami z zakresu cyberbezpieczeństwa, nie dezinformacją. Po drugie: na wskazanych stronach są formularze umożliwiające zgłaszanie cyberincydentów oraz przypadków dezinformacji. Jednak każdy, kto dokonał tam takiego zgłoszenia, wie, że zgłaszający najczęściej nie dostaje informacji zwrotnej.

Wreszcie po trzecie: aktualności na stronie bezpiecznewybory.pl pojawiały się do tej pory z dużym opóźnieniem, jeśli w ogóle. Skoro dyżury związane z dezinformacją trwają tylko w dni robocze w określonych godzinach, czy to się zmieni? Czy nawet w przypadku całodobowego dyżuru nie trzeba będzie czekać, aż wysoko postawiony urzędnik zdecyduje, czy informację można opublikować? System państwowy ma naturalną bezwładność, która skutkuje rozwlekłością działania.

Potrzebujemy więc raczej sprawnego systemu ratownictwa niż urzędowych rozwiązań.

Ostatnio najszybszym kanałem komunikacji rządu i państwa z obywatelami jest platforma społecznościowa X, należąca do Elona Muska. To ona stała się fundamentem „systemu ratownictwa” wobec zagrożenia dezinformacją. Tyle że Musk już w tej chwili oskarżany jest o manipulację algorytmami w taki sposób, by na X największą widoczność miały jego wpisy, oraz o wpływanie na wyniki wyborów w kilku państwach europejskich (np. w Niemczech i Wielkiej Brytanii). Dziś widać wyraźnie, że opieranie na tej platformie komunikacji państwa z obywatelami jest strategicznym błędem.

Gdzie zgłaszać incydenty?

Przyznajemy, że Ministerstwo Cyfryzacji w jednej kwestii przekazało nam konkretne dane: gdzie należy zgłaszać incydenty cyberbezpieczeństwa (nie dezinformację). Podajemy je także i my:

• Administracja państwowa i operatorzy infrastruktury krytycznej zgłaszają incydenty cyberbezpieczeństwa do CSIRT GOV.
• Podmioty podlegające pod resort obrony narodowej oraz przedsiębiorstwa świadczące usługi na rzecz MON informują CSIRT MON.
• Media, samorządy, inne podmioty publiczne, przedsiębiorstwa i osoby fizyczne zgłaszają incydenty do CSIRT NASK.

Kampania prezydencka nieoficjalnie trwa od miesięcy, oficjalnie właśnie się zaczęła. Minister Gawkowski plan zabezpieczenia tych wyborów ma przedstawić dopiero w ostatnich dniach stycznia. Nawet jeśli plan będzie perfekcyjny, miną kolejne tygodnie, zanim wejdzie on w życie. Przynajmniej do połowy lutego nie ma więc mowy o zabezpieczeniu państwa przed zewnętrzną ingerencją w wybory. Co będzie potem? To już zależy od planu, który obecnie jest niejawny, a w ogóle to dopiero powstaje.