Es gibt zwei Sicherheiten: Sicherheit als Gefühl und als Realität. und sie unterscheiden sich. Sie können sich sicher fühlen sogar, wenn sie es nicht sind. Und sie können sicher sein auch wenn sie sich nicht so fühlen. Wir haben zwei separate Konzepte verbunden mit demselben Begriff. Was ich mit diesem Vortrag erreichen möchte ist sie sauber zu trennen -- aufzuzeigen wo sie voneinander abweichen und wo sie sich überschneiden. Tatsächlich ist der Begriff Sicherheit ein Problem. Es gibt nicht viele gute Bezeichnungen für die Modelle über die wir reden werden.
So, security is two different things: it's a feeling, and it's a reality. And they're different. You could feel secure even if you're not. And you can be secure even if you don't feel it. Really, we have two separate concepts mapped onto the same word. And what I want to do in this talk is to split them apart -- figuring out when they diverge and how they converge. And language is actually a problem here. There aren't a lot of good words for the concepts we're going to talk about.
Wenn wir Sicherheit aus wirtschaftlicher Sicht betrachten ist es ein Kompromiss. Immer wenn sie Sicherheit erhalten tauschen sie sie gegen etwas. Ob dies aus persönlichen Gründen – ob sie eine Alarmanlage zu Hause installieren – oder eine nationale Entscheidungen -- ob sie in einem anderen Land intervenieren -- sie tauschen etwas ein sei es Geld oder Zeit, Komfort, Ressourcen vielleicht grundlegende Rechte. Die Frage bei Betrachtung von Sicherheit ist nicht ob es uns Sicherheit gibt, sonder ob es den Tausch wert ist. Sie haben in den letzten Jahren gehört, dass die Welt sicherer ist, weil Saddam Hussein nicht mehr an der Macht ist. Das mag stimmen ist aber nicht unbedingt relevant. Die Frage ist, ob es den Aufwand wert war? Und sie treffen die Entscheidung, ob es die Invasion wert war. So denken Sie über Sicherheit -- aus wirtschaftlicher Sicht.
So if you look at security from economic terms, it's a trade-off. Every time you get some security, you're always trading off something. Whether this is a personal decision -- whether you're going to install a burglar alarm in your home -- or a national decision, where you're going to invade a foreign country -- you're going to trade off something: money or time, convenience, capabilities, maybe fundamental liberties. And the question to ask when you look at a security anything is not whether this makes us safer, but whether it's worth the trade-off. You've heard in the past several years, the world is safer because Saddam Hussein is not in power. That might be true, but it's not terribly relevant. The question is: Was it worth it? And you can make your own decision, and then you'll decide whether the invasion was worth it. That's how you think about security: in terms of the trade-off.
Oft gibt es hier kein Richtig oder Falsch Einige von uns haben eine Alarmanlage zu Hause andere nicht. Und es hängt davon ab, wo wir leben ob wir alleine leben oder eine Familie haben wieviel Kram wir haben wie stark wir bereit sind das Risiko von Diebstahl in Kauf zu nehmen. Auch in der Politik gibt es verschiedene Meinungen. Oft geht es bei diesem Tausch um mehr als um Sicherheit und ich denke, das ist wirklich wichtig. Menschen haben einen natürliche Intuition in Bezug auf diese Tauschhandel. Wir treffen sie jeden Tag -- gestern Nacht in meinem Hotelzimmer, als ich entschied die Tür doppelt abzuschließen, oder Sie, auf dem Weg hierher in ihrem Auto, wenn wir mittags essen gehen und wir entscheiden das Essen ist kein Gift und wir essen es. Wir machen diesen Tausch immer wieder viele Male, jeden Tag. Oft nehmen wir ihn nicht einmal war. Er ist Teil des Lebens; wir alle tun es.
Now, there's often no right or wrong here. Some of us have a burglar alarm system at home and some of us don't. And it'll depend on where we live, whether we live alone or have a family, how much cool stuff we have, how much we're willing to accept the risk of theft. In politics also, there are different opinions. A lot of times, these trade-offs are about more than just security, and I think that's really important. Now, people have a natural intuition about these trade-offs. We make them every day. Last night in my hotel room, when I decided to double-lock the door, or you in your car when you drove here; when we go eat lunch and decide the food's not poison and we'll eat it. We make these trade-offs again and again, multiple times a day. We often won't even notice them. They're just part of being alive; we all do it.
Jede Lebensform tut es. Stellen sie sich ein Kaninchen auf einem Feld vor das Gras isst, das Kaninchen sieht einen Fuchs. Dieses Kaninchen wird seine Sicherheit abwägen: "Sollte ich bleiben oder fliehen?" Und wenn sie darüber nachdenken, Kaninchen, die gut bei solchen Entscheidungen sind, neigen dazu, zu Leben und sich fortzupflanzen, Kaninchen, die schlecht darin sind werden gegessen werden oder verhungern. Denken Sie, dass wir, als erfolgreichste Spezies auf diesen Planeten -- Sie, ich, alle – richtig gut sein sollten im Abwägen dieser Entscheidungen. Es scheint so, dass wir immer wieder hoffnungslos schlecht darin sind. Ich denke, dass ist eine grundlegend interessante Frage.
Every species does it. Imagine a rabbit in a field, eating grass. And the rabbit sees a fox. That rabbit will make a security trade-off: "Should I stay, or should I flee?" And if you think about it, the rabbits that are good at making that trade-off will tend to live and reproduce, and the rabbits that are bad at it will get eaten or starve. So you'd think that us, as a successful species on the planet -- you, me, everybody -- would be really good at making these trade-offs. Yet it seems, again and again, that we're hopelessly bad at it. And I think that's a fundamentally interesting question.
Ich geben Ihnen die kurze Antwort. Die Antwort ist, dass wir auf das Gefühl von Sicherheit reagieren und nicht auf die Realität. In den meisten Fällen funktioniert dieses Modell. Meistens sind Gefühl und Realität das Gleiche. Sicherlich stimmt das für den größten Teil der menschlichen Vorgeschichte. Wir haben diese Fähigkeit entwickelt, weil es im Sinne der Evolution war. Eine Sicht ist, dass wir hochoptimiert sind für Gefahrensentscheidungen, die örtlich begrenzt auf das Leben in einem Familienverband im ostafrikanischen Hochland im Jahr 100 000 v. Chr. abgestimmt sind. 2010 in New York nicht so sehr.
I'll give you the short answer. The answer is, we respond to the feeling of security and not the reality. Now, most of the time, that works. Most of the time, feeling and reality are the same. Certainly that's true for most of human prehistory. We've developed this ability because it makes evolutionary sense. One way to think of it is that we're highly optimized for risk decisions that are endemic to living in small family groups in the East African Highlands in 100,000 BC. 2010 New York, not so much.
Es gibt hier mehrere Verzerrungen beim Abschätzen von Gefahren. Es gibt dabei eine Menge gute Experimente. Und sie können sehen, dass bestimmte Verzerrungen immer und immer wieder vorkommen. Ich werde Ihnen vier nennen. Wir neigen dazu spektakuläre und seltene Gefahren zu übertreiben und allgemeine Gefahren herunterzuspielen -- Fliegen gegenüber Autofahren. Das Unbekannte wird als gefährlicher wahrgenommen als das Gewohnte. Ein Beispiel ist, dass Menschen sich vor der Entführung durch Fremde fürchten während Daten zeigen, dass eine Entführung durch Verwandte üblicher ist. Das gilt für Kinder. Drittens, personifizierte Gefahren werden stärker wahrgenommen als anonyme Gefahren -- deshalb erschreckt uns Bin Laden mehr, weil er einen Namen hat. Und viertens unterschätzen Menschen Gefahren in Situationen, die Sie kontrollieren und überschätzen Sie in Situationen, die sie nicht kontrollieren. Sobald sie anfangen zu rauchen oder skydiven, spielen sie die Gefahren herunter. Wenn eine Gefahr Druck auf Sie ausübt -- Terrorismus war ein gutes Beispiel -- werden Sie übertreiben, weil sie nicht das Gefühl haben, dass es in ihrer Macht liegt.
Now, there are several biases in risk perception. A lot of good experiments in this. And you can see certain biases that come up again and again. I'll give you four. We tend to exaggerate spectacular and rare risks and downplay common risks -- so, flying versus driving. The unknown is perceived to be riskier than the familiar. One example would be: people fear kidnapping by strangers, when the data supports that kidnapping by relatives is much more common. This is for children. Third, personified risks are perceived to be greater than anonymous risks. So, Bin Laden is scarier because he has a name. And the fourth is: people underestimate risks in situations they do control and overestimate them in situations they don't control. So once you take up skydiving or smoking, you downplay the risks. If a risk is thrust upon you -- terrorism is a good example -- you'll overplay it, because you don't feel like it's in your control.
Es gibt einige andere dieser Verzerrungen, sogenannte kognitive Verzerrungen, die unsere Gefahrensabwägung beeinträchtigen. Da ist die Verfügbarkeitsheuristik, was im Grunde bedeutet, dass wir die Wahrscheinlichkeit von etwas danach abschätzen, wie leicht man sich an ähnliche Beispiele erinnert. Sie können sich also vorstellen, wie das funktioniert. Wenn sie oft von einer Tigerattacke hören, dann müssen viele Tiger in der Gegend sein. Wenn sie nicht viel über Löwenangriffe hören, dann sind nicht viele Löwen in der Gegend Das funktioniert solange bis wir Zeitungen erfinden. Weil Zeitungen immer und immer wieder seltene Gefahren besprechen. Ich erzähle Leuten, wenn es in den Nachrichten ist, dann sorge dich nicht darüber. Weil laut Definition Nachrichten etwas sind, das fast nie passiert. (Gelächter) Wenn etwas so gewöhnlich ist, dass es keine Nachricht mehr ist -- Autounfälle, häusliche Gewalt -- das sind Gefahren über die sie sich Sorgen sollten.
There are a bunch of other of these cognitive biases, that affect our risk decisions. There's the availability heuristic, which basically means we estimate the probability of something by how easy it is to bring instances of it to mind. So you can imagine how that works. If you hear a lot about tiger attacks, there must be a lot of tigers around. You don't hear about lion attacks, there aren't a lot of lions around. This works, until you invent newspapers, because what newspapers do is repeat again and again rare risks. I tell people: if it's in the news, don't worry about it, because by definition, news is something that almost never happens. (Laughter) When something is so common, it's no longer news. Car crashes, domestic violence -- those are the risks you worry about.
Wir sind außerdem eine Spezies der Geschichtenerzähler. Wir sprechen auf Geschichten besser an als auf Daten. Und dazu kommt noch etwas von unserer Rechenschwäche. Ich meine der Scherz "Eins, Zwei, Drei, ganz viele" ist irgendwo richtig. Wir sind richtig gut mit kleinen Zahlen. Eine Mango, zwei Mangos, drei Mangos, 10.000 Mangos, 100.000 Mangos -- Es sind immer noch mehr Mangos als Sie essen können bevor sie verfaulen. Die Hälfte, ein Viertel, ein Fünftel -- wir sind gut darin. Ein Millionstel, ein Milliardstel -- sie passieren beide so gut wie nie. Wir haben also Schwierigkeiten mit Risiken die nicht alltäglich sind.
We're also a species of storytellers. We respond to stories more than data. And there's some basic innumeracy going on. I mean, the joke "One, two, three, many" is kind of right. We're really good at small numbers. One mango, two mangoes, three mangoes, 10,000 mangoes, 100,000 mangoes -- it's still more mangoes you can eat before they rot. So one half, one quarter, one fifth -- we're good at that. One in a million, one in a billion -- they're both almost never. So we have trouble with the risks that aren't very common.
Und was diese kognitiven Verzerrungen tun, ist dass sie als Filter zwischen uns und der Realität agieren. Und das Ergebnis ist das Gefühl und Realität aus dem Gleichgewicht geraten, sie unterscheiden sich. Jetzt haben sie entweder ein Gefühl -- Sie fühlen sich sicherer als sie sind. Da ist ein falsches Empfinden von Sicherheit. Oder andersherum, und das ist ein falsches Empfinden von Unsicherheit. Ich schreibe viel über das "Sicherheitstheater" was Produkte sind, die den Menschen ein sicheres Gefühl geben, aber genau genommen gar nichts bewirken. Es gibt kein richtiges Wort für die Dinge, die uns Sicherheit geben, aber uns nicht Sicherheit fühlen lassen. Vielleicht ist das was die CIA für uns tun sollte.
And what these cognitive biases do is they act as filters between us and reality. And the result is that feeling and reality get out of whack, they get different. Now, you either have a feeling -- you feel more secure than you are, there's a false sense of security. Or the other way, and that's a false sense of insecurity. I write a lot about "security theater," which are products that make people feel secure, but don't actually do anything. There's no real word for stuff that makes us secure, but doesn't make us feel secure. Maybe it's what the CIA is supposed to do for us.
Zurück zu Wirtschaftswissenschaften. Wenn die Wirtschaft, wenn der Markt Sicherheit antreibt, und wenn Leute Kompromisse machen basierend auf dem Gefühl von Sicherheit, dann ist es geschickt für Firmen für einen wirtschaftlichen Bonus Menschen ein sicheres Gefühl zu geben. Und es gibt zwei Wege das zu tun. Erstens können sie Leute tatsächlich Sicherheit geben und hoffen, dass sie es bemerken. Oder zweitens, sie geben den Leuten nur ein Gefühl von Sicherheit und hoffen dass sie es nicht bemerken. Was nehmen die Leute wahr ? Nun einige Dinge: Verständnis von Sicherheit, der Risiken, der Gefahren, der Gegenmaßnahmen, wie sie funktionieren. Je mehr Sie über diese Dinge Bescheid wissen desto wahrscheinlicher ist es, dass Ihre Gefühle mit der Realität übereinstimmen. Genügend Beispiele aus der realen Welt helfen.
So back to economics. If economics, if the market, drives security, and if people make trade-offs based on the feeling of security, then the smart thing for companies to do for the economic incentives is to make people feel secure. And there are two ways to do this. One, you can make people actually secure and hope they notice. Or two, you can make people just feel secure and hope they don't notice. Right? So what makes people notice? Well, a couple of things: understanding of the security, of the risks, the threats, the countermeasures, how they work. But if you know stuff, you're more likely to have your feelings match reality. Enough real-world examples helps.
Wir alle wissen die Kriminalitätsrate in unserer Nachbarschaft, weil wir dort leben, und wir bekommen ein Gefühl dafür das im Grunde der Realität entspricht. Das Sicherheitstheater wird aufgedeckt, wenn es offensichtlich ist, dass es nicht richtig funktioniert. Okay, was löst die Wahrnehmung bei den Leuten aus? Nun, ein unzureichendes Verständnis. Wenn sie die Risiken nicht verstehen, verstehen sie nicht die Kosten, werden sie wahrscheinlich falsch abwägen und ihr Gefühl wird nicht mit der Realität übereinstimmen. Nicht genug der Beispiele. Ereignissen geringer Wahrscheinlichkeit haftet ein Problem an: wenn zum Beispiel, Terrorismus fast nie passiert, ist es wirklich schwierig die Effektivität von Antiterrormaßnahmen zu beurteilen. Das ist der Grund warum wir Jungfrauen opfern, und warum mystische Erklärungen einfach gut funktionieren. Es gibt nicht genug Beispiele für Misserfolge. Dazu Gefühle, die Tatsachen verschleiern -- die kognitiven Verzerrungen über die ich vorher gesprochen habe, Ängste, verbreiteter Glaube sind im Kern ein unpassendes Modell der Realität.
We all know the crime rate in our neighborhood, because we live there, and we get a feeling about it that basically matches reality. Security theater is exposed when it's obvious that it's not working properly. OK. So what makes people not notice? Well, a poor understanding. If you don't understand the risks, you don't understand the costs, you're likely to get the trade-off wrong, and your feeling doesn't match reality. Not enough examples. There's an inherent problem with low-probability events. If, for example, terrorism almost never happens, it's really hard to judge the efficacy of counter-terrorist measures. This is why you keep sacrificing virgins, and why your unicorn defenses are working just great. There aren't enough examples of failures. Also, feelings that cloud the issues -- the cognitive biases I talked about earlier: fears, folk beliefs -- basically, an inadequate model of reality.
Lassen Sie mich die Dinge verkomplizieren. Ich habe Gefühl und Realität Ich möchte ein drittes Element hinzufügen: Modelle Gefühle und Modelle sind in unserem Kopf Realität ist die Welt da draußen. Es ändert sich nicht; es ist real. Gefühle basieren auf unserer Intuition. Modelle basieren auf Ursachen. Das ist grundlegende Unterschied. In einer primitiven und einfachen Welt, gibt es wirklich kein Grund für ein Modell. Weil das Gefühl der Realität so nah ist, brauchen sie kein Modell. Aber in einer modernen und komplexen Welt brauchen sie Modelle um die vielen Risiken mit denen wir konfrontiert sind zu verstehen. Es gibt kein Gefühl für Bakterien. Sie brauchen ein Modell um sie zu verstehen. Dieses Modell ist eine intelligente Darstellung der Realität. Es ist natürlich begrenzt durch Wissenschaft durch Technik. Wir konnten keine Theorie der Keime entwickeln bevor wir die Mikroskope erfunden hatten, um sie zu sehen. Es ist begrenzt durch unsere kognitiven Verzerrungen, hat aber die Fähigkeit, unsere Gefühle außer Kraft zu setzen.
So let me complicate things. I have feeling and reality. I want to add a third element. I want to add "model." Feeling and model are in our head, reality is the outside world; it doesn't change, it's real. Feeling is based on our intuition, model is based on reason. That's basically the difference. In a primitive and simple world, there's really no reason for a model, because feeling is close to reality. You don't need a model. But in a modern and complex world, you need models to understand a lot of the risks we face. There's no feeling about germs. You need a model to understand them. This model is an intelligent representation of reality. It's, of course, limited by science, by technology. We couldn't have a germ theory of disease before we invented the microscope to see them. It's limited by our cognitive biases. But it has the ability to override our feelings.
Woher bekommen wir diese Modelle? Wir bekommen sie von anderen. Wir bekommen sie von Religion, Kultur, Lehrern, Älteren. Vor einigen Jahren war ich auf Safari in Südafrika. Der Fährtenleser mit dem ich dort war, wuchs im Krüger Nationalpark auf. Er hatte einige sehr komplizierte Modelle wie man überlebt. Und es hing davon ab ob wir von einem Löwen, Leoparden, Rhinozeros oder einem Elefanten angegriffen werden -- und wann man weglaufen muss, und wann man auf einen Baum klettern muss -- wann mann niemals auf einen Baum klettern kann. Ich wäre innerhalb eines Tages gestorben, aber er war dort geboren und verstand sich darauf zu überleben. Ich bin in New York City geboren. Ich hätte ihn mit nach New York nehmen können und er wäre innerhalb eines Tages gestorben. (Gelächter) Weil wir verschiedene Modelle haben basierend auf unseren unterschiedlichen Erfahrungen.
Where do we get these models? We get them from others. We get them from religion, from culture, teachers, elders. A couple years ago, I was in South Africa on safari. The tracker I was with grew up in Kruger National Park. He had some very complex models of how to survive. And it depended on if you were attacked by a lion, leopard, rhino, or elephant -- and when you had to run away, when you couldn't run away, when you had to climb a tree, when you could never climb a tree. I would have died in a day. But he was born there, and he understood how to survive. I was born in New York City. I could have taken him to New York, and he would have died in a day. (Laughter) Because we had different models based on our different experiences.
Modelle können aus den Medien kommen, von unseren gewählten Vertretern. Denken sie an Modelle über Terrorismus, Kindesentführung Sicherheit im Flugzeug, Sicherheit im Auto. Modelle können aus der Industrie kommen. Die beiden, die ich verfolge sind Überwachungskameras und Ausweise, etliche unserer Computersicherheitsmodelle kommen daher. Viele Modelle kommen aus der Wissenschaft. Gesundheitsmodelle sind ein tolles Beispiel. Denken sie an Krebs, Vogelgrippe, Schweinegrippe, SARS. Alle unserer Gefühle von Sicherheit über diese Krankheiten kommen von Modellen die uns, wirklich, von der Wissenschaft gefiltert durch die Medien gegeben werden. Modelle können sich ändern. Modelle sind nicht statisch. Je wohler wir uns in einer Umgebung fühlen, desto eher stimmt unser Modell mit unserem Gefühl überein.
Models can come from the media, from our elected officials ... Think of models of terrorism, child kidnapping, airline safety, car safety. Models can come from industry. The two I'm following are surveillance cameras, ID cards, quite a lot of our computer security models come from there. A lot of models come from science. Health models are a great example. Think of cancer, bird flu, swine flu, SARS. All of our feelings of security about those diseases come from models given to us, really, by science filtered through the media. So models can change. Models are not static. As we become more comfortable in our environments, our model can move closer to our feelings.
Ein Beispiel mag sein, wenn Sie 100 Jahre zurück gehen als Elektrizität allmählich eingeführt wurde, gab es eine Menge Ängste. Ich meine, es gab Leute, die Angst hatten Türklingeln zu drücken, weil sie mit Elektrizität betrieben wurden, und die war gefährlich. Für uns ist Elektrizität einfach banal. Wir wechseln Glühbirnen ohne darüber nachzudenken. Unser Modell der Sicherheit um Elektrizität ist etwas in das wir hineingeboren wurden. Es hat sich nicht geändert als wir aufwuchsen und wir sind gut darin. Oder denken sie an die Risiken des Internet über Generationen hinweg -- wie unsere Eltern Sicherheit im Internet herangehen, und wie wir das tun, oder unsere Kinder es tun werden. Modelle verschwinden letztendlich in den Hintergrund. Intuitiv ist nur ein anderes Wort für vertraut.
So an example might be, if you go back 100 years ago, when electricity was first becoming common, there were a lot of fears about it. There were people who were afraid to push doorbells, because there was electricity in there, and that was dangerous. For us, we're very facile around electricity. We change light bulbs without even thinking about it. Our model of security around electricity is something we were born into. It hasn't changed as we were growing up. And we're good at it. Or think of the risks on the Internet across generations -- how your parents approach Internet security, versus how you do, versus how our kids will. Models eventually fade into the background. "Intuitive" is just another word for familiar.
Wenn Ihr Modell nah an der Realität ist und es mit den Gefühlen verschmilzt, wissen sie oft gar nicht dass es da ist. Ein schönes Beispiel dafür gab es letztes Jahr mit der Schweinegrippe. Als die Schweinegrippe zuerst auftrat verursachten die ersten Nachrichten eine Menge Überreaktionen. Jetzt hatte sie einen Namen was sie erschreckender machte als die gewöhnliche Grippe, obwohl die mehr Tode auslöste. Die Leute dachten, dass Ärzte in der Lage sein sollten damit umzugehen. Es gab also ein Gefühl mangelnder Kontrolle. Diese beiden Dinge ließen das Risiko größer erscheinen als es war. Als die Neuartigkeit nachließ, die Monate vorbeigingen gab es ein Maß an Toleranz die Leute hatten sich daran gewöhnt. Es gab keine neuen Erkenntnisse, aber weniger Angst. Im Herbst dachten die Leute die Ärzte sollten mittlerweile das Problem gelöst haben. Und es gab eine Art Zweiteilung -- die Leute hatten zu wählen zwischen Angst und Akzeptanz -- wirklicher Angst und Desinteresse -- sie wählten eine Art von Misstrauen. Als die Impfung letzten Winter verfügbar war, gab es eine Menge Leute -- eine überraschende Anzahl -- die sich weigerten sie zu nehmen. -- ein schönes Beispiel wie das Gefühl der Sicherheit der Leute sich ändert, wie sich ihr Modell ändert, irgendwie chaotisch ohne neue Information, ohne neuen Input. So etwas ähnliches passiert häufig.
So as your model is close to reality and it converges with feelings, you often don't even know it's there. A nice example of this came from last year and swine flu. When swine flu first appeared, the initial news caused a lot of overreaction. Now, it had a name, which made it scarier than the regular flu, even though it was more deadly. And people thought doctors should be able to deal with it. So there was that feeling of lack of control. And those two things made the risk more than it was. As the novelty wore off and the months went by, there was some amount of tolerance; people got used to it. There was no new data, but there was less fear. By autumn, people thought the doctors should have solved this already. And there's kind of a bifurcation: people had to choose between fear and acceptance -- actually, fear and indifference -- and they kind of chose suspicion. And when the vaccine appeared last winter, there were a lot of people -- a surprising number -- who refused to get it. And it's a nice example of how people's feelings of security change, how their model changes, sort of wildly, with no new information, with no new input. This kind of thing happens a lot.
Ich werde ihnen eine weitere Komplikation zeigen. Wir haben Gefühl, Modell, Realität. Ich habe eine sehr relativistische Sicht auf Sicherheit. Ich denke es hängt vom Beobachter ab. Und die meisten Sicherheitsentscheidungen sind eine Vielzahl von Menschen involviert. Lobbyisten mit bestimmten Zielkonflikten werden versuchen die Entscheidung zu beeinflussen. Ich nenne das ihre Agenda. Agenda, Sie wissen ja -- das ist Marketing, das ist Politik -- der Versuch, Sie zu überzeugen, ein Modell gegen ein anderes zu stellen, der Versuch, sie zu überzeugen, ein Modell zu ignorieren und ihren Gefühlen zu vertrauen. Leute mit Modellen, die sie nicht mögen, an den Rand zu drängen. Das ist nicht ungewöhnlich. Ein Beispiel, ein tolles Beispiel, ist die Gefahr des Rauchens. In der Geschichte der letzten 50 Jahre zeigt die Gefahr des Rauchens, wie sich ein Modell ändert, und es zeigt wie eine Industrie gegen ein Modell ankämpft, welches sie nicht mögen. Vergleichen Sie dazu die Mitraucherdebatte -- die etwa zwanzig Jahre hinterher hinkt. Denken sie an Sicherheitsgurte. Als ich ein Kind war, trug niemand einen Sicherheitsgurt. Heutzutage wird kein Kind Sie fahren lassen wenn sie nicht einen Sicherheitsgurt tragen. Vergleichen Sie dazu die Airbag-Debatte -- die wahrscheinlich 30 Jahre hinten liegt.
I'm going to give one more complication. We have feeling, model, reality. I have a very relativistic view of security. I think it depends on the observer. And most security decisions have a variety of people involved. And stakeholders with specific trade-offs will try to influence the decision. And I call that their agenda. And you see agenda -- this is marketing, this is politics -- trying to convince you to have one model versus another, trying to convince you to ignore a model and trust your feelings, marginalizing people with models you don't like. This is not uncommon. An example, a great example, is the risk of smoking. In the history of the past 50 years, the smoking risk shows how a model changes, and it also shows how an industry fights against a model it doesn't like. Compare that to the secondhand smoke debate -- probably about 20 years behind. Think about seat belts. When I was a kid, no one wore a seat belt. Nowadays, no kid will let you drive if you're not wearing a seat belt. Compare that to the airbag debate, probably about 30 years behind.
Alles Beispiele der Veränderung von Modellen. Was wir lernen ist, dass es schwer ist, Modelle zu ändern. Modelle sind schwer abzuschütteln. Wenn sie Ihren Gefühlen entsprechen, wissen Sie noch nicht einmal, dass Sie ein Modell haben. Und es gibt noch eine andere kognitive Verzerrung: Ich nenne es Bestätigungsfehler, indem wir dazu tendieren Daten zu akzeptieren die unseren Glaubensatz bestätigen und Daten abzulehnen die unserem Glaubensatz widersprechen. Also werden wir Beweise gegen unser Modell wahrscheinlich ignorieren sogar wenn sie zwingend sind. Es muss schon sehr zwingend sein, ehe wir aufmerksam werden. Neue Modelle, die über längere Zeiträume reichen sind schwierig. Globale Erwärmung ist ein tolles Beispiel. Wir sind schrecklich mit Modellen, die sich über 80 Jahre erstrecken. Wir können die nächste Ernte machen. Wir können funktionieren solange bis unsere Kinder aufwachsen. Aber 80 Jahre, darin sind wir einfach nicht gut. Es ist also ein sehr schwierig zu akzeptierendes Modell. Wir können beide Modell gleichzeitig in unserem Kopf haben oder diese Art von Problem, wo wir beide Glaubenssätze zusammenhalten oder die kognitive Dissonanz. Letztendlich wird das neue Modell das alte ersetzen
All examples of models changing. What we learn is that changing models is hard. Models are hard to dislodge. If they equal your feelings, you don't even know you have a model. And there's another cognitive bias I'll call confirmation bias, where we tend to accept data that confirms our beliefs and reject data that contradicts our beliefs. So evidence against our model, we're likely to ignore, even if it's compelling. It has to get very compelling before we'll pay attention. New models that extend long periods of time are hard. Global warming is a great example. We're terrible at models that span 80 years. We can do "to the next harvest." We can often do "until our kids grow up." But "80 years," we're just not good at. So it's a very hard model to accept. We can have both models in our head simultaneously -- that kind of problem where we're holding both beliefs together, the cognitive dissonance. Eventually, the new model will replace the old model. Strong feelings can create a model.
Starke Gefühle können ein Modell schaffen. Der 11. September schaffte ein solches Sicherheitsmodell in den Köpfen vieler Leute. Auch eine persönliche Erfahrung mit einer Straftat kann dies tun, persönliches Gesundheitsrisiko. ein Gesundheitsrisiko in den Nachrichten. Diese Momente werden von Psychiatern Blitzlichtmomente genannt. Sie können unmittelbar ein Modell schaffen, weil sie sehr gefühlsgeladen sind.
September 11 created a security model in a lot of people's heads. Also, personal experiences with crime can do it, personal health scare, a health scare in the news. You'll see these called "flashbulb events" by psychiatrists. They can create a model instantaneously, because they're very emotive.
In der technisierten Welt haben wir nicht die Erfahrung Modelle zu beurteilen. Und wir sind auf andere angewiesen. Wir sind auf Stellvertreter angewiesen. Ich meine dies funktioniert so lange es darum geht, andere zu korrigieren. Wir vertrauen auf staatliche Vertretungen, uns mitzuteilen welche Arzneimittel sicher sind. Ich bin gestern her geflogen. Ich habe das Flugzeug nicht überprüft. Ich vertraute einer anderen Gruppe, festzustellen ob mein Flugzeug sicher war um damit zu fliegen. Wir sind hier, niemand von uns fürchtet, dass uns das Dach auf den Kopf fällt, nicht weil wir es überprüft haben, sondern weil wir ziemlich sicher sind, dass die Gebäudevorschriften hier sehr gut sind. Es ist ein Modell, dass wir einfach akzeptieren größtenteils durch Glauben. Und das ist in Ordnung.
So in the technological world, we don't have experience to judge models. And we rely on others. We rely on proxies. And this works, as long as it's the correct others. We rely on government agencies to tell us what pharmaceuticals are safe. I flew here yesterday. I didn't check the airplane. I relied on some other group to determine whether my plane was safe to fly. We're here, none of us fear the roof is going to collapse on us, not because we checked, but because we're pretty sure the building codes here are good. It's a model we just accept pretty much by faith. And that's OK.
Was wir wollen ist das Leute sich mit besseren Modellen anfreuden -- sie mit ihren Gefühlen reflektiert haben -- um ihnen zu erlauben Sicherheitsabwägungen zu machen. Wenn diese aus dem Gleichgewicht geraten, dann haben sie zwei Optionen. Erstens, sie können die Gefühle der Leute richten, direkt an Gefühle appelieren. Es ist Manipulation, aber es kann funktionieren. Zweitens, der ehrlichere Weg ist, das Modell direkt in Ordnung zu bringen. Veränderungen passieren langsam. Die Raucherdebatte brauchte 40 Jahre, und das war eine einfache. Einige dieser Dinge sind schwer. Ich meine richtig schwer, Information scheint unsere beste Hoffnung zu sein.
Now, what we want is people to get familiar enough with better models, have it reflected in their feelings, to allow them to make security trade-offs. When these go out of whack, you have two options. One, you can fix people's feelings, directly appeal to feelings. It's manipulation, but it can work. The second, more honest way is to actually fix the model. Change happens slowly. The smoking debate took 40 years -- and that was an easy one. Some of this stuff is hard. Really, though, information seems like our best hope.
Und ich habe gelogen. Erinnern sie sich, als ich Gefühl, Modell, Realität sagte. Ich sagte Realität verändert sich nicht. Tatsächlich ändert sie sich. Wir leben in einer technisierten Welt; Realität verändert sich die ganze Zeit. Wir mögen -- zum ersten Mal für unsere Art -- folgende Situation haben Gefühl jagt Modell, Modell jagt Realität, Realität ist in Bewegung -- sie mögen nie aufschließen. Wir wissen es nicht. Aber langfristig sind sowohl Gefühl als auch Realität wichtig. Und ich möchte mit zwei kurzen Geschichten schließen um dies hervorzuheben.
And I lied. Remember I said feeling, model, reality; reality doesn't change? It actually does. We live in a technological world; reality changes all the time. So we might have, for the first time in our species: feeling chases model, model chases reality, reality's moving -- they might never catch up. We don't know. But in the long term, both feeling and reality are important. And I want to close with two quick stories to illustrate this.
1982 -- ich weiß nicht ob die Leute sich daran erinnern -- gab es eine kurze Epidemie von Tylenol Vergiftungen in den Vereinigten Staaten. Es ist eine schreckliche Geschichte. Irgendjemand nahm eine Flasche Tylenol, füllte Gift hinein, verschloss sie und stellte sie wieder ins Regal. Irgendjemand anderes kaufte die Flasche und starb. Dies ängstigte die Leute. Es gab einige Nachahmungsfälle. Es gab kein reales Risiko, aber die Leute fürchteten sich. Und dies ist wie die fälschungssichere Pharmaindustrie erfunden wurde. Diese fälschungssichere Verschlüsse gingen daraus hervor. Es ist ein komplettes Sicherheitstheater. Als Hausaufgabe denken Sie sich 10 Wege aus, diese zu umgehen. Ich nenne ihnen einen Weg, eine Spritze. Aber die Leute fühlen sich besser. Es glich ihr Gefühl der Sicherheit an die Realität an.
1982 -- I don't know if people will remember this -- there was a short epidemic of Tylenol poisonings in the United States. It's a horrific story. Someone took a bottle of Tylenol, put poison in it, closed it up, put it back on the shelf, someone else bought it and died. This terrified people. There were a couple of copycat attacks. There wasn't any real risk, but people were scared. And this is how the tamper-proof drug industry was invented. Those tamper-proof caps? That came from this. It's complete security theater. As a homework assignment, think of 10 ways to get around it. I'll give you one: a syringe. But it made people feel better. It made their feeling of security more match the reality.
Letzte Geschichte, einige Jahre her, gebar eine Freundin von mir ein Kind. Ich besuchte sie im Krankenhaus. Es stellte sich heraus, wenn heutzutage ein Kind geboren wird, bringen sie am Kind ein RFID Armband mit einem dazugehörigen für die Mutter an, Wenn irgendjemand anderes als die Mutter das Baby aus der Entbindungsstation nimmt, geht ein Alarm los. Ich sagte: "Das ist irgendwie klasse. Ich wundere mich wie grassierend Kinderklau aus Krankenhäusern ist." Ich ging nach Haus und guckte es nach. Es passiert so gut wie nie. Aber wenn Sie darüber nachdenken, wenn Sie im Krankenhaus sind, und Sie müssen ein Baby von seiner Mutter für einige Tests aus dem Raum bringen, haben Sie besser ein ziemlich gutes Sicherheitstheater, oder sie wird ihnen einen Arm ausreißen.
Last story: a few years ago, a friend of mine gave birth. I visit her in the hospital. It turns out, when a baby's born now, they put an RFID bracelet on the baby, a corresponding one on the mother, so if anyone other than the mother takes the baby out of the maternity ward, an alarm goes off. I said, "Well, that's kind of neat. I wonder how rampant baby snatching is out of hospitals." I go home, I look it up. It basically never happens. (Laughter) But if you think about it, if you are a hospital, and you need to take a baby away from its mother, out of the room to run some tests, you better have some good security theater, or she's going to rip your arm off.
(Gelächter)
(Laughter)
Es ist also wichtig für uns, für solche von uns, die Sicherheit gestalten, auf die Sicherheitsregelung zu schauen oder sogar auf die öffentliche Regelung, die in Ihrer Art Einfluss auf die Sicherheit haben. Es ist nicht nur Realität, es ist Gefühl und Realität. Was wichtig ist, ist dass sie ungefähr gleich sein müssen. Es ist wichtig, dass wenn unsere Gefühle mit der Realität übereinstimmen, wir bessere Sicherheitsabwägungen machen.
So it's important for us, those of us who design security, who look at security policy -- or even look at public policy in ways that affect security. It's not just reality; it's feeling and reality. What's important is that they be about the same. It's important that, if our feelings match reality, we make better security trade-offs.
Vielen Dank.
Thank you.
(Applaus)
(Applause)