“Diga a Eles Que São Uma Entidade Responsável, Não Um Cliente”: Entendendo os Desafios dos Profissionais em CSIRTs Setoriais

O artigo apresenta o primeiro estudo empírico de métodos mistos sobre CSIRTs setoriais, baseado em 24 entrevistas no ecossistema IBD-CSIRT holandês (equipes de CSIRTs setoriais, entidades municipais, autoridade nacional de cibersegurança e órgãos de governança), entrevistas intersetoriais e um workshop de validação com outros CSIRTs setoriais holandeses. Adicionalmente, foi realizada uma análise longitudinal de 3.065 tickets de notificação de vulnerabilidades do IBD-CSIRT de 2015 a 2024, comparados com relatórios completos da Shadowserver para a Holanda.

Os pesquisadores descobriram que apenas 6 dos 67 tipos de relatórios da Shadowserver com ocorrências de IPs municipais geraram um ticket, e somente 27% dos dias com ocorrências de IPs municipais acionaram qualquer notificação às entidades. Essa falha sistêmica na entrega permaneceu indetectada por anos devido a lógicas de filtragem não divulgadas no CSIRT nacional, falhas no tooling baseado em e-mail, filas offline, alternâncias de endereço de destinatário e a ausência de um feedback loop entre remetente e destinatário. Os autores enquadram os desafios dos profissionais de CSIRT setorial em torno de três dinâmicas (recursos, legitimidade e dependência) e recomendam focar a capacidade escassa nas entidades menos capacitadas, realizar o embedding de feedback loops nos pipelines de notificação e combinar mandatos top-down impulsionados pela NIS2 com a construção de confiança bottom-up para resolver o problema de bootstrapping, onde as entidades só investem no registro de ativos após perceberem o valor da notificação.