La seguretat és dues coses diferents: és una sensació i és una realitat. I són diferents. Ens podem sentir segurs fins i tot quan no és així. I podem ser-ho, fins i tot quan no ho sentim. Tenim dos conceptes separats dins la mateixa paraula. El que vull fer en aquesta xerrada és separar-los, descobrint quan divergeixen and com convergeixen. I la llengua és un problema real en aquest cas. No hi ha gaires paraules pels conceptes dels quals parlarem.
So, security is two different things: it's a feeling, and it's a reality. And they're different. You could feel secure even if you're not. And you can be secure even if you don't feel it. Really, we have two separate concepts mapped onto the same word. And what I want to do in this talk is to split them apart -- figuring out when they diverge and how they converge. And language is actually a problem here. There aren't a lot of good words for the concepts we're going to talk about.
Si mirem la seguretat en termes econòmics, es tracta d'un intercanvi. Cada vegada que aconseguim certa seguretat, estem sacrificant quelcom. Tant si es tracta d'una decisió personal, per exemple, instal·lar una alarma contra lladres a casa, o una decisió nacional, envair un altre país; sacrificarem alguna cosa: o diners o temps, comoditat, capacitats, potser llibertats fonamentals. La pregunta que hem de fer-nos quan estem davant d'una cosa relacionada amb la seguretat no és si ens fa sentir més segurs, sinó si val la pena el sacrifici. Heu sentit a dir en els últims anys que el món és un lloc més segur perquè en Saddam Hussein no és al poder. Potser és cert, però no és tan rellevant. La pregunta és: va valer la pena? Podeu prendre les vostres decisions i després decidir si la invasió va valer o no la pena. Així és com es pensa sobre seguretat; en termes de sacrifici.
So if you look at security from economic terms, it's a trade-off. Every time you get some security, you're always trading off something. Whether this is a personal decision -- whether you're going to install a burglar alarm in your home -- or a national decision, where you're going to invade a foreign country -- you're going to trade off something: money or time, convenience, capabilities, maybe fundamental liberties. And the question to ask when you look at a security anything is not whether this makes us safer, but whether it's worth the trade-off. You've heard in the past several years, the world is safer because Saddam Hussein is not in power. That might be true, but it's not terribly relevant. The question is: Was it worth it? And you can make your own decision, and then you'll decide whether the invasion was worth it. That's how you think about security: in terms of the trade-off.
En moltes ocasions, no hi ha bé o malament. Algunes persones tenen una alarma contra lladres a casa i d'altres no en tenen. Depèn d'on viuen, de si tenen o no família, de la quantitat de coses valuoses que tenen, de fins a quin punt estan disposats a acceptar el risc de que els entrin a casa. En política, hi ha diferents opinions. Moltes vegades, aquests sacrificis van més enllà de la seguretat: crec que això és realment important. La gent té una intuició natural per aquests sacrificis. Els fem cada dia; ahir a la nit a l'habitació de l'hotel quan vaig decidir tancar la porta amb doble clau, o vosaltres al cotxe quan conduíeu per arribar aquí, quan anem a dinar i decidim que el menjar no està en males condicions i ens el mengem. Prenem aquest tipus de decisions constantment, moltes vegades al dia. Sovint ni tan sols ens adonem. Forma part de ser viu; tothom ho fa.
Now, there's often no right or wrong here. Some of us have a burglar alarm system at home and some of us don't. And it'll depend on where we live, whether we live alone or have a family, how much cool stuff we have, how much we're willing to accept the risk of theft. In politics also, there are different opinions. A lot of times, these trade-offs are about more than just security, and I think that's really important. Now, people have a natural intuition about these trade-offs. We make them every day. Last night in my hotel room, when I decided to double-lock the door, or you in your car when you drove here; when we go eat lunch and decide the food's not poison and we'll eat it. We make these trade-offs again and again, multiple times a day. We often won't even notice them. They're just part of being alive; we all do it.
Totes les espècies ho fan. Imagineu-vos un conill al camp que està menjant i que veu una guineu. El conill pendrà un decisió de seguretat: "Em quedo o me'n vaig?" I si ho penseu bé, els conills que són bons prenent aquest tipus de decisió tendeixen a viure i reproduir-se i els que no ho són moriran de gana o bé se'ls menjaran. Seria d'esperar que, com espècie triomfadora del planeta, vosaltres, jo, tothom siguéssim realment bons a l'hora de prendre aquestes decisions. Per contra, sembla ser que som terriblement dolents. Crec que és una qüestió realment interessant.
Every species does it. Imagine a rabbit in a field, eating grass. And the rabbit sees a fox. That rabbit will make a security trade-off: "Should I stay, or should I flee?" And if you think about it, the rabbits that are good at making that trade-off will tend to live and reproduce, and the rabbits that are bad at it will get eaten or starve. So you'd think that us, as a successful species on the planet -- you, me, everybody -- would be really good at making these trade-offs. Yet it seems, again and again, that we're hopelessly bad at it. And I think that's a fundamentally interesting question.
Us donaré la resposta curta. La resposta és que responem a la sensació de seguretat i no pas a la realitat. La majoria de vegades, funciona. La majoria de vegades, sensació i realitat són el mateix. Certament, això és veritat en gran part de la prehistòria humana. Hem desenvolupat aquesta habilitat perquè té sentit evolutiu. Una manera de veure-ho és que estem realment optimitzats per prendre decisions sobre riscos propis de la gent que viu en grups familiars reduïts a les terres altes de l'Àfrica oriental l'any 100.000 a.C. però no tant per Nova York l'any 2010.
I'll give you the short answer. The answer is, we respond to the feeling of security and not the reality. Now, most of the time, that works. Most of the time, feeling and reality are the same. Certainly that's true for most of human prehistory. We've developed this ability because it makes evolutionary sense. One way to think of it is that we're highly optimized for risk decisions that are endemic to living in small family groups in the East African Highlands in 100,000 BC. 2010 New York, not so much.
Hi ha diversos biaixos en la percepció de riscos. Hi ha molts experiments bons sobre això. I es veu com certs biaixos apareixen de forma constant. Us en donaré quatre. Tenim tendència a exagerar riscos extraordinaris i poc freqüents i a minimitzar els riscos corrents: volar enfront conduir. Allò desconegut es percep més arriscat que allò que és familiar. Per exemple, les persones tener por de que els segresti un desconegut, però hi ha dades que demostren que és molt més comú que el segrest el faci un familiar. Això pel que fa els nens. En tercer lloc, els riscos personificats es valoren més que els riscs anònims. Així, Bin Laden fa més por perquè té nom. I, per últim, la gent infravalora els riscos en situacions on tenen el control i els sobreestima en situacions on no el tenen. Així doncs, quan comencem a fumar o a fer paracaigudisme, minimitzem els riscos. Si se'ns imposa un risc (el terrorisme és un bon exemple), l'exagerarem perquè no tenim la sensació de tenir-ne el control.
Now, there are several biases in risk perception. A lot of good experiments in this. And you can see certain biases that come up again and again. I'll give you four. We tend to exaggerate spectacular and rare risks and downplay common risks -- so, flying versus driving. The unknown is perceived to be riskier than the familiar. One example would be: people fear kidnapping by strangers, when the data supports that kidnapping by relatives is much more common. This is for children. Third, personified risks are perceived to be greater than anonymous risks. So, Bin Laden is scarier because he has a name. And the fourth is: people underestimate risks in situations they do control and overestimate them in situations they don't control. So once you take up skydiving or smoking, you downplay the risks. If a risk is thrust upon you -- terrorism is a good example -- you'll overplay it, because you don't feel like it's in your control.
Hi ha un grapat d'altres biaixos cognitius que afecten la pressa de decisions de riscos. Està l'heurística de la disponibilitat, que significa que s'estima la probabilitat d'alguna cosa segons com sigui de fàcil trobar-ne exemples. Sabeu com funciona. Si sentim molt a parlar d'atacs de tigre, hi ha d'haver molts tigres a prop. Si no sentim a parlar d'atacs de lleó, és que no n'hi ha gaires a prop. Això va funcionar fins que es van inventir els diaris. El que fan els diaris és repetir una vegada i una altra els riscos poc freqüents. Jo sovint dic: "Si és als diaris, no t'hi preocupis". Per definició, una noticia és quelcom que gairebé mai passa. (Rialles) Quan una cosa és freqüent, deixa de ser notícia; accidents de cotxe, violència de gènere: aquests són els riscos que us han de preocupar.
There are a bunch of other of these cognitive biases, that affect our risk decisions. There's the availability heuristic, which basically means we estimate the probability of something by how easy it is to bring instances of it to mind. So you can imagine how that works. If you hear a lot about tiger attacks, there must be a lot of tigers around. You don't hear about lion attacks, there aren't a lot of lions around. This works, until you invent newspapers, because what newspapers do is repeat again and again rare risks. I tell people: if it's in the news, don't worry about it, because by definition, news is something that almost never happens. (Laughter) When something is so common, it's no longer news. Car crashes, domestic violence -- those are the risks you worry about.
Som també una espècie de grans narradors. Responem més a les històries que no pas a les dades. Estem incapacitats per a l'aritmètica bàsica. L'acudit "Un, dos, tres, molts" és encertat. Som bons amb números petits. Una poma, dues pomes, tres pomes, 10.000 pomes, 100.000 pomes... són moltes més pomes de les que podem menjar abans no es facin malbé. Som bons quan es tracta d'un mig, un quart, una cinquena part. un entre un milió, un entre deu mil milions, no passen gaire sovint. Tenim problemes amb els riscos que no són gaire freqüents.
We're also a species of storytellers. We respond to stories more than data. And there's some basic innumeracy going on. I mean, the joke "One, two, three, many" is kind of right. We're really good at small numbers. One mango, two mangoes, three mangoes, 10,000 mangoes, 100,000 mangoes -- it's still more mangoes you can eat before they rot. So one half, one quarter, one fifth -- we're good at that. One in a million, one in a billion -- they're both almost never. So we have trouble with the risks that aren't very common.
El que fan aquests biaixos cognitius és fer de filtres entre nosaltres i la realitat. El resultat és que sensació i realitat es desequilibren, són diferents. O bé, teniu la sensació de sentir-vos més segurs del que sou realment i es tracta d'un fals sentiment de seguretat; o bé, al contrari, i és una falsa sensació d'inseguretat. Escric sovint sobre "el teatre de la seguretat", que són productes que fan que la gent se senti segura, però que no fan res en realitat. No hi ha cap paraula realment per anomenar les coses que es fan sentir segurs, però que no fan res per donar-nos aquesta seguretat. Potser és el que se suposa que ha de fer la CIA.
And what these cognitive biases do is they act as filters between us and reality. And the result is that feeling and reality get out of whack, they get different. Now, you either have a feeling -- you feel more secure than you are, there's a false sense of security. Or the other way, and that's a false sense of insecurity. I write a lot about "security theater," which are products that make people feel secure, but don't actually do anything. There's no real word for stuff that makes us secure, but doesn't make us feel secure. Maybe it's what the CIA is supposed to do for us.
Però tornem al tema econòmic. Si l'economia, si el mercat, dóna seguretat, i si la gent fa sacrificis basant-se en la sensació de seguretat, aleshores el que les empreses han de fer d'acord amb l'incentiu econòmic és fer que la gent se senti segura. Hi ha dues formes de fer-ho. D'una banda, es pot fer que la gent sigui segura de debó i esperar que se n'adonin. O bé, fer que la gent se senti segura i esperar que no se n'adonin. Què fa que la gent se n'adoni? Un parell de coses: entendre la seguretat, els riscos, les amenaces, les contramesures, com funciona tot això. Si sabem coses, és més probable que les nostres sensacions i la realitat siguin iguals. Es veurà més clar amb exemples.
So back to economics. If economics, if the market, drives security, and if people make trade-offs based on the feeling of security, then the smart thing for companies to do for the economic incentives is to make people feel secure. And there are two ways to do this. One, you can make people actually secure and hope they notice. Or two, you can make people just feel secure and hope they don't notice. Right? So what makes people notice? Well, a couple of things: understanding of the security, of the risks, the threats, the countermeasures, how they work. But if you know stuff, you're more likely to have your feelings match reality. Enough real-world examples helps.
Tots sabem fins a quin punt el nostre barri és segur, perquè hi vivim i tenim una sensació de la seguretat que bàsicament és la realitat. El teatre de la seguretat queda al descobert quan està clar que no funciona de la manera correcta. I bé, què fa que la gent no se n'adoni? Doncs, un entendiment limitat. Si no s'entenen els riscos, no s'entenen els costos, les probabilitats de que el sacrifici no sigui correcte augmenten i la sensació no és igual a la realitat. No són prou exemples. Hi ha un problema inherent amb els aconteixements de probabilitat baixa. Si, per exemple, gairebé mai hi ha actes terroristes, és molt difícil de valorar l'eficàcia de les mesures antiterroriestes. És per això que seguim sacrificant verges i que ens funcionin tan bé les defenses d'unicorn. No hi ha prou exemples de fracasos. També hi ha sensacions que ennuvolen els temes; els biaixos cognitius de què us parlava abans, pors, creences populars, fonamentalment un model de realitat inadequat.
We all know the crime rate in our neighborhood, because we live there, and we get a feeling about it that basically matches reality. Security theater is exposed when it's obvious that it's not working properly. OK. So what makes people not notice? Well, a poor understanding. If you don't understand the risks, you don't understand the costs, you're likely to get the trade-off wrong, and your feeling doesn't match reality. Not enough examples. There's an inherent problem with low-probability events. If, for example, terrorism almost never happens, it's really hard to judge the efficacy of counter-terrorist measures. This is why you keep sacrificing virgins, and why your unicorn defenses are working just great. There aren't enough examples of failures. Also, feelings that cloud the issues -- the cognitive biases I talked about earlier: fears, folk beliefs -- basically, an inadequate model of reality.
Permetèu-me que compliqui les coses. Tinc la sensació i la realitat. Vull afegir un altre element. El model. La sensació i el model estan a la nostra ment, però la realitat és el món exterior. No canvia; és real. La sensació es basa en la intuició. El model es basa en la raó. Aquesta és bàsicament la diferència. En un món primitiu i simple, no hi ha cap motiu per a que hi hagi un model perquè la sensació està molt a prop de la realitat. No és necessari cap model. Però en un món modern i complex, els models són necessaris per entendre molts dels riscos als que ens enfrontem. No hi ha cap sensació sobre els gèrmens. És necessari tenir un model per entendre'ls. El model és una representació intel·ligent de la realitat. És obvi que està limitat per la ciència, per la tecnologia. No era possible tenir una teoria d'enfermetat causada per gèrmens abans de que s'inventés el microscopi que ens permetria veure'ls. Està limitat pels biaixos cognitius. Té l'habilitat d'anular les sensacions.
So let me complicate things. I have feeling and reality. I want to add a third element. I want to add "model." Feeling and model are in our head, reality is the outside world; it doesn't change, it's real. Feeling is based on our intuition, model is based on reason. That's basically the difference. In a primitive and simple world, there's really no reason for a model, because feeling is close to reality. You don't need a model. But in a modern and complex world, you need models to understand a lot of the risks we face. There's no feeling about germs. You need a model to understand them. This model is an intelligent representation of reality. It's, of course, limited by science, by technology. We couldn't have a germ theory of disease before we invented the microscope to see them. It's limited by our cognitive biases. But it has the ability to override our feelings.
D'on treiem els models? D'altres llocs. De la religió, la cultura, els professors, les persones grans. Fa un parell d'anys, vaig fer un safari a Sudàfrica. El rastrejador amb qui anava va críxer al Kruger National Park. Tenia alguns models força complexos sobre com sobreviure. En funció de si t'atacava un lleó, un lleopard, un rinoceront o un elefant, s'havia de córrer o enfilar-se a un arbre o no enfilar-s'hi mai. Jo no hauria sobreviscut ni un dia, però ell va néixer allà i entenia com sobreviure-hi. Jo vaig néixer a Nova York. Si l'hagués dut a Nova York, no hauria sobreviscut ni un dia. (Rialles) La raó és que teníem diferents models que es basaven en experiències diferents.
Where do we get these models? We get them from others. We get them from religion, from culture, teachers, elders. A couple years ago, I was in South Africa on safari. The tracker I was with grew up in Kruger National Park. He had some very complex models of how to survive. And it depended on if you were attacked by a lion, leopard, rhino, or elephant -- and when you had to run away, when you couldn't run away, when you had to climb a tree, when you could never climb a tree. I would have died in a day. But he was born there, and he understood how to survive. I was born in New York City. I could have taken him to New York, and he would have died in a day. (Laughter) Because we had different models based on our different experiences.
Models que provenen dels mitjans de comunicació, dels funcionaris electes. Models de terrorisme, de segrest de nens, de seguretat aèria, de seguretat en carretera. Els models poden tenir l'origen a la indústria. Per exemple, les càmeres de vigilància o els carnets d'identitat, molts dels nostres models de seguretat computeritzats provenen d'aquí. Molts models provenen de la ciència. Els models de salut són un bon exemple. Penseu en el càncer, en la grip aviària, la grip porcina o la síndrome respiratòria aguda greu. La sensació de seguretat que tenim enfront aquestes malalties venen de models que ens ha donat la ciència a través dels mitjans de comunicació. Els models poden canviar. No són estàtics. A mida que es sentim més còmodes en un medi, el model s'apropa a les sensacions.
Models can come from the media, from our elected officials ... Think of models of terrorism, child kidnapping, airline safety, car safety. Models can come from industry. The two I'm following are surveillance cameras, ID cards, quite a lot of our computer security models come from there. A lot of models come from science. Health models are a great example. Think of cancer, bird flu, swine flu, SARS. All of our feelings of security about those diseases come from models given to us, really, by science filtered through the media. So models can change. Models are not static. As we become more comfortable in our environments, our model can move closer to our feelings.
Un exemple podria ser el següent: pensen en fa 100 anys, en el moment en què l'electricitat començava a estendre's; hi havia molts temors al voltant d'aquest descobriment. Hi havia gent que tenia por de prémer el timbre perque hi havia electricitat i era perillosa. Nosaltres ens sentim còmodes amb l'electricitat. Canviem bombetes sense ni tan sols pensar-hi. Hem nascut dins d'aquest model de seguretat pel que fa a l'electricitat. No ha canviat mentre ens feiem grans. Som bons fent-lo servir. Un altre exemple: penseu en els riscos d'Internet al llarg de generacions com els vostres pares enfoquen la seguretat pel que fa a Internet enfront a com ho feu vosaltres, enfront a com ho faran els vostres fills. Els models acaben per esvair-se. La intuició és un sinòmin de familiar.
So an example might be, if you go back 100 years ago, when electricity was first becoming common, there were a lot of fears about it. There were people who were afraid to push doorbells, because there was electricity in there, and that was dangerous. For us, we're very facile around electricity. We change light bulbs without even thinking about it. Our model of security around electricity is something we were born into. It hasn't changed as we were growing up. And we're good at it. Or think of the risks on the Internet across generations -- how your parents approach Internet security, versus how you do, versus how our kids will. Models eventually fade into the background. "Intuitive" is just another word for familiar.
Quan el model està a prop de la realitat i s'uneix a les sensacions, no sabem que hi és. Un bon exemple d'això és la grip porcina. Quan va aparèixer per primera vegada, les notícies van provocar reaccions desmesurades. Era una enfermetat amb nom, la qual cosa que tinguéssim més por que no pas per la grip normal, tot i que aquesta última és més mortal. I la gent pensava que els metges havien de ser capaços de tractar-la. Hi havia, doncs, una sensació de falta de control. Aquests dos fets feien que el risc fos més gran del que era real. A mida que la novetat desapareixia i que passaven els mesos, va aparèixer una certa tolerància i la gent s'hi va acostumar. No hi havia nova informació, però hi havia menys por. A la tardor, la gent creia que els metges havien de tenir ja una solució. És una mena de bifurcació: la gent havia d'escollir entre por i acceptació; bé, millor dit, entre por i indiferència, i van escollir més aviat la sospita. I quan, a l'hivern, va aparèixer la vacuna va haver-hi molta gent (de fet, un nombre realment alt) que s'hi va negar. És un bon exemple de com les sensacions de seguretat i els models canvien, de forma un tant descontrolada, sense nova informació, sense noves dades. Coses com aquesta passen sovint.
So as your model is close to reality and it converges with feelings, you often don't even know it's there. A nice example of this came from last year and swine flu. When swine flu first appeared, the initial news caused a lot of overreaction. Now, it had a name, which made it scarier than the regular flu, even though it was more deadly. And people thought doctors should be able to deal with it. So there was that feeling of lack of control. And those two things made the risk more than it was. As the novelty wore off and the months went by, there was some amount of tolerance; people got used to it. There was no new data, but there was less fear. By autumn, people thought the doctors should have solved this already. And there's kind of a bifurcation: people had to choose between fear and acceptance -- actually, fear and indifference -- and they kind of chose suspicion. And when the vaccine appeared last winter, there were a lot of people -- a surprising number -- who refused to get it. And it's a nice example of how people's feelings of security change, how their model changes, sort of wildly, with no new information, with no new input. This kind of thing happens a lot.
Ho complicaré una mica més. Tenim la sensació, el model, la realitat. Tinc una visió molt relativista de la seguretat. Crec que depén de l'observador. Moltes decisions de seguretat comporten que hi hagi diferents persones involucrades. I els interessats que tenen sacrificis determinats intentaran influir en la decisió. És el que anomeno la seva agenda. Podem veure en aquestes agendes, (en màrqueting, en política) que intenten convèncer-vos d'un model enfront un altre, que intenten convèncer-vos d'ignorar un model i confiar en les vostres sensacions, aillant la gent que té models que no us agraden. No és gens estrany. Un bon exemple és el risc del tabaquisme. En els últims 50 anys, el risc del tabaquisme mostra com canvia un model i com la indústria lluita contra un model que no li agrada. Ho podem comparar al debat sobre el tabaquisme passiu, fa uns 20 anys aproximadament. Penseu en els cinturons de seguretat. Quan era petit, ningú no portava el cinturó de seguretat. Ara, cap nen no us deixarà conduir a menys que us poseu el cinturó. Ho podem comparar al debat sobre l'airbag, fa uns 30 anys aproximadament.
I'm going to give one more complication. We have feeling, model, reality. I have a very relativistic view of security. I think it depends on the observer. And most security decisions have a variety of people involved. And stakeholders with specific trade-offs will try to influence the decision. And I call that their agenda. And you see agenda -- this is marketing, this is politics -- trying to convince you to have one model versus another, trying to convince you to ignore a model and trust your feelings, marginalizing people with models you don't like. This is not uncommon. An example, a great example, is the risk of smoking. In the history of the past 50 years, the smoking risk shows how a model changes, and it also shows how an industry fights against a model it doesn't like. Compare that to the secondhand smoke debate -- probably about 20 years behind. Think about seat belts. When I was a kid, no one wore a seat belt. Nowadays, no kid will let you drive if you're not wearing a seat belt. Compare that to the airbag debate, probably about 30 years behind.
Són exemples de models que canvien. I el que aprenem és que és difícil canviar un model. És difícil desplaçar un model. Si model i sensació és el mateix, ni tan sols ens adonem que tenim un model. Hi ha un altre biaix cognitiu, que anomeno biaix de confirmació, i és que tenim tendència a aceptar la informació que confirma les nostres creences i a rebutjar la informació que les contradiu. És probable que no fem cas a la informació en contra del nostre model, encara que sigui molt persuasiva. Haurà de ser molt i molt persuasiva per a que hi parem atenció. Els models nous que s'estenen llargs períodes són difícils. L'escalfament global és un bon exemple. Som molt dolents amb models que abasten 80 anys. Podem ser-hi per a la propera collita. Podem ser-hi fins que els fills són grans. Però 80 anys, és massa temps per a nosaltres. És un model molt difícil d'acceptar. Podem tenir dos models al cap de forma simultània, com el tipus de problema on tenim dues creences al mateix temps; la dissonància cognitiva. Al final, el nou model substituirà l'antic.
All examples of models changing. What we learn is that changing models is hard. Models are hard to dislodge. If they equal your feelings, you don't even know you have a model. And there's another cognitive bias I'll call confirmation bias, where we tend to accept data that confirms our beliefs and reject data that contradicts our beliefs. So evidence against our model, we're likely to ignore, even if it's compelling. It has to get very compelling before we'll pay attention. New models that extend long periods of time are hard. Global warming is a great example. We're terrible at models that span 80 years. We can do "to the next harvest." We can often do "until our kids grow up." But "80 years," we're just not good at. So it's a very hard model to accept. We can have both models in our head simultaneously -- that kind of problem where we're holding both beliefs together, the cognitive dissonance. Eventually, the new model will replace the old model. Strong feelings can create a model.
Les sensacions fortes poden crear un model. L'onze de setembre va crear un model de seguretat a les ments de moltes persones. Les experiències personals relacionades amb delictes també en poden crear: un problema de salut personal, un problema de salut a les notícies. Són el que els psiquiatres anomenen esdeveniments flash. Poden crear un model de forma instantània perquè són esdeveniments molt emotius.
September 11 created a security model in a lot of people's heads. Also, personal experiences with crime can do it, personal health scare, a health scare in the news. You'll see these called "flashbulb events" by psychiatrists. They can create a model instantaneously, because they're very emotive.
En el món tecnològic, no tenim experiència per jutjar els models. Confiem en altres. Confiem en intermediaris. És a dir, això funciona mentre sigui per corregir altres. Confiem que les agències gubernamentals ens diguin quins medicaments són segurs. Vaig arribar aquí ahir en avió. No vaig examinar l'aparell. Vaig confiar en un altre grup perquè decidís si era segur volar en aquell avió. Estem aquí; ningú no té por que el sostre caigui, no perquè ho hem inspeccionat sinó perquè estem força segurs que els codis de construcció són bons. És un model que acceptem quasi per fe. I està bé.
So in the technological world, we don't have experience to judge models. And we rely on others. We rely on proxies. And this works, as long as it's the correct others. We rely on government agencies to tell us what pharmaceuticals are safe. I flew here yesterday. I didn't check the airplane. I relied on some other group to determine whether my plane was safe to fly. We're here, none of us fear the roof is going to collapse on us, not because we checked, but because we're pretty sure the building codes here are good. It's a model we just accept pretty much by faith. And that's OK.
El que volem és que la gent es familiaritzi amb models millors (que siguin un reflex de les seves sensacions) que els permetin fer sacrificis de seguretat. Quan aquests es desequilibren, tenim dues opcions. En primer lloc, podem arreglar les sensacions de la gent, apel·lant directament a les seves sensacions. És manipulatiu, però pot funcionar. L'altra manera, més honesta, és realment arreglar el model. Els canvis són lents. El debat sobre el tabac va durar 40 anys i es tractava d'un model fàcil. Alguns són complicats. El que vull dir és que sembla que la informació és la millor esperança.
Now, what we want is people to get familiar enough with better models, have it reflected in their feelings, to allow them to make security trade-offs. When these go out of whack, you have two options. One, you can fix people's feelings, directly appeal to feelings. It's manipulation, but it can work. The second, more honest way is to actually fix the model. Change happens slowly. The smoking debate took 40 years -- and that was an easy one. Some of this stuff is hard. Really, though, information seems like our best hope.
He dit una mentida. Recordeu quan he parlat de sensació, model i realitat? He dit que la realitat no canvia. De fet, sí que ho fa. Vivim en un món tecnològic; la realitat canvia constantment. Per primera vegada en la història de la nostra espècie, podem trobar-nos amb el cas en què la sensació persegueix el model, el model persegueix la realitat, la realitat es mou; potser mai no s'enxamparan. No ho sabem. Però a la llarga, tant la sensació com la realitat són importants. Vull acabar amb dues breus històries per il·lustrar això.
And I lied. Remember I said feeling, model, reality; reality doesn't change? It actually does. We live in a technological world; reality changes all the time. So we might have, for the first time in our species: feeling chases model, model chases reality, reality's moving -- they might never catch up. We don't know. But in the long term, both feeling and reality are important. And I want to close with two quick stories to illustrate this.
1982. No sé si recordeu que hi va haver una epidèmia curta d'enverinament de Tylenol als Estats Units. És una història terrible: algú va prendre una ampolla de Tylenol, hi va posar verí, la va tancar i la va deixar a la prestatgeria. Una altra persona la va comprar i va morir. La gent estqava aterrida. Hi va haver un parell d'imitacions. No hi havia cap risc real, però la gent estava espantada. Així és com va aparèixer la indústria de segellament de medicaments. Així és com van aparèixer els taps segellats. És el teatre de seguretat complet. Us posaré deures: penseu en 10 maneres de d'evitar-los. Un en diré una: una xeringa. Però va fer que la gent se sentís millor. Va fer que la sensació de seguretat s'apropés a la realitat.
1982 -- I don't know if people will remember this -- there was a short epidemic of Tylenol poisonings in the United States. It's a horrific story. Someone took a bottle of Tylenol, put poison in it, closed it up, put it back on the shelf, someone else bought it and died. This terrified people. There were a couple of copycat attacks. There wasn't any real risk, but people were scared. And this is how the tamper-proof drug industry was invented. Those tamper-proof caps? That came from this. It's complete security theater. As a homework assignment, think of 10 ways to get around it. I'll give you one: a syringe. But it made people feel better. It made their feeling of security more match the reality.
L'última història, fa uns anys. Una amiga meva té un fill. La vaig anar a veure a l'hospital. Ara quan neix un nen, li posen una pulsera RFID al nadó i una altra a la mare, de manera que si algú que no és la mare prova de treure el nen de l'àrea de maternitat, es dispara l'alarma. Vaig dir, "Això és força ingeniós. Em pregunto fora dels hospitals". Quan vaig arribar a casa, ho vaig mirar. No passa gairebé mai. Però penseu-ho bé: si esteu a l'hospital i heu de prendre el nadó lluny de la seva mare i fora de la sala per fer-li proves, és millor tenir un bon teatre de seguretat o la mare us arrencarà el braç.
Last story: a few years ago, a friend of mine gave birth. I visit her in the hospital. It turns out, when a baby's born now, they put an RFID bracelet on the baby, a corresponding one on the mother, so if anyone other than the mother takes the baby out of the maternity ward, an alarm goes off. I said, "Well, that's kind of neat. I wonder how rampant baby snatching is out of hospitals." I go home, I look it up. It basically never happens. (Laughter) But if you think about it, if you are a hospital, and you need to take a baby away from its mother, out of the room to run some tests, you better have some good security theater, or she's going to rip your arm off.
(Rialles)
(Laughter)
És important per aquells de nosaltres que dissenyem la seguretat, que observem les polítiques de seguretat o fins i tot les polítiques públiques en formes que afecten la seguretat. No és només realitat, és sensació i realitat. El que és important és que són pràcticament el mateix. Si les nostres sensacions són iguals a la realitat, és important que fem prenem bones decisions de seguretat.
So it's important for us, those of us who design security, who look at security policy -- or even look at public policy in ways that affect security. It's not just reality; it's feeling and reality. What's important is that they be about the same. It's important that, if our feelings match reality, we make better security trade-offs.
Gràcies.
Thank you.
(Aplaudiments)
(Applause)