Wybory prezydenckie 2025 roku nie były tylko starciem kandydatów, ale i walką służb. Do administratorów platform internetowych zgłoszono ponad 16 tys. kont powiązanych z operacjami wywierania wpływu na Facebooku, X i TikToku. W działania związane z wyborami zaangażowały się rosyjskie służby specjalne.
Ministerstwo Cyfryzacji przyznaje, że przebieg wyborów prezydenckich w 2025 r. był szczególnie wymagający, naznaczony rosnącą skalą cyberataków, intensywnością operacji informacyjnych i polaryzacją społeczną, a także jawną wrogością wobec Polski ze strony podmiotów wspieranych przez państwa, takie jak Rosja i Białoruś. W działania te zaangażowane były zaawansowane grupy APT (np. APT28, APT29) oraz grupy haktywistycznych (np. NoName057(16)).
Ministerstwo Cyfryzacji wspólnie CSIRT GOV (ABW), Centralnym Ośrodkiem Informatyki, Naukową i Akademicką Siecią Komputerową – Państwowy Instytut Badawczy (NASK-PIB), Służbą Kontrwywiadu Wojskowego i MSZ uruchomiło program „Parasol wyborczy” który objął trzy kluczowe obszary:
- ochronę przed zagrożeniami w cyberprzestrzeni,
- przeciwdziałanie dezinformacji
- edukację i współpracę międzyinstytucjonalną
Główne zidentyfikowane zagrożenia
Od 1 lutego do 1 czerwca 2025 r. zespół CSIRT GOV (ABW) zarejestrował łącznie 6744 zgłoszeń potencjalnych incydentach teleinformatycznych. 1544 zostało zakwalifikowanych jako faktyczne incydenty bezpieczeństwa, z czego 27 incydentów związanych było z oddziaływaniem na podmioty związane z procesem wyborczym.
Zespół CSIRT NASK sprawdził 591 domen i 16 998 subdomen identyfikując 3 256 podatności wynikające z błędnych konfiguracji, w tym 121 o wysokim ryzyku.
CSIRT NASK zarejestrował:
- 144 zgłoszenia dot. fałszywych SMSów powiązanych z I turą wyborów,
- 115 zgłoszeń dotyczących łamania ciszy wyborczej,
- 3 zgłoszenia dotyczące nieprawidłowościach w komisjach.
Przed II turą wyborów odnotowano:
- 15 zgłoszeń dot. fałszywych SMSów,
- 67 zgłoszeń dotyczących łamania ciszy wyborczej
- 110 zgłoszeń dotyczących domeny testnr.org (Ruch Kontroli Wyborów), które przekazane zostały do organów ścigania.
System wczesnego ostrzegania odnotował 2 236 535 alarmów o zagrożeniach na styku sieci wewnętrznej z Internetem. Spośród nich około 57% stanowiło alarmy o podwyższonym priorytecie reakcji.
Od stycznia do 2 czerwca 2025 r. Zespół Szybkiego Reagowania i Wykrywania Dezinformacji obsłużył ok. 27,5 tys. zgłoszeń potencjalnych incydentów (dotyczących różnych kwestii dezinformacyjnych, wyborczych lub profili/kont). Spośród nich ok. 23,7 tys. uznano za zasadne i przekazane do dalszej obsługi.
Tak grano emocjami
Między styczniem a majem 2025 r. do administratorów platform internetowych zgłoszono ponad 16 tys. kont powiązanych z operacjami wywierania wpływu na Facebooku, X i platformie TikTok. Wśród nich były m.in.
- Operacja A - dezinformacja o zamachach,
- Operacja B -działania rosyjskiej grupy Social Design Agency,
- Operacja C - wymierzona w kandydata i organizacje ukraińskie,
- Operacja D – treści generowane przez AI,
- Operacja E - "Spotted" z edytowanymi postami,
- Operacja F - fałszywe artykuły,
- Operacja G - płatne reklamy i rekrutacja influencerów,
- Operacja H - działania międzynarodowej organizacji.
Ośrodek Analizy Dezinformacji NASK zidentyfikował również profile podszywające się pod kandydatów na prezydenta i rozpowszechniające treści pochodzące z innych kont. Do końca kwietnia udało się zablokować 169 takich kont (96 proc.).
NASK-PIB stwierdził, że kampanie fałszywych SMS-ów wykorzystywały podobne szablony i nadpisy, jak te powiązane z grupą UNC1151/GhostWriter w 2023 r. Reagowano także na ataki DDoS przeprowadzone przez prorosyjską grupę NoName057(16) na strony partii politycznych w dniach 16 i 18 maja 2025 r.
System ARAKIS-GOV Agencji Bezpieczeństwa Wewnętrznego zarejestrował ponad 2,2 mln alarmów o zagrożeniach teleinformatycznych. Potwierdzono niezmieniony modus operandi rosyjskiej agresji informacyjnej, skupionej na polaryzacji społecznej poprzez tematy ukraińskiej społeczności, wojny w Ukrainie i migracji.
Służba Kontrwywiadu Wojskowego zidentyfikowała siatkę kilkuset nieautentycznych kont w serwisie X w marcu i kwietniu 2025 r.
W ochronę wyborów zaangażowane było Ministerstwo Spraw Zagranicznych, które koordynowało zespołu ds. przeciwdziałania zagranicznym operacjom informacyjnym wymierzonym w proces wyborczy. Powołano Radę Konsultacyjną do spraw Odporności na Dezinformację Międzynarodową ("Rada Odporności") jako platformę współpracy administracji, uczelni, samorządów, organizacji społecznych i biznesu. MSZ współpracowało też z Europejską Służbą Działań Zewnętrznych w ramach Rapid Alert System w celu wymiany informacji o zagranicznej ingerencji i manipulacji informacją (FIMI).
Konieczne zmiany w prawie
Z raportu wynika, że wciąż istnieją fundamentalne ograniczenia wynikające z obecnie funkcjonującego systemu prawnego i specyfiki cyberprzestrzeni.
Konieczne jest też zmiana ram legislacyjnych, w tym dostosowanie przepisów Kodeksu Wyborczego dotyczących agitacji wyborczej, która obecnie, mimo że niezgodna z prawem, nie jest zagrożona sankcjami karnymi. Stawarza to ryzyko wykorzystywania luk przez podmioty wrogie Polsce.
Raport wskazuje również na ograniczenia automatyzacji w wykrywaniu dezinformacji z uwagi na jej kontekstowy charakter, ironię i sarkazm, które są nierozpoznawalne dla systemów AI. Dlatego budowa narodowej odporności cyfrowej poprzez systematyczne podnoszenie świadomości społeczeństwa na temat zagrożeń informacyjnych i rozwijanie kompetencji cyfrowych jest kluczowym elementem długoterminowej strategii.
Konieczne jest również zapewnienie należytego stosowania unijnego Aktu o usługach cyfrowych (DSA), co umożliwi szybsze i skuteczniejsze reagowanie na zagrożenia informacyjne.
