So, security is two different things: it's a feeling, and it's a reality. And they're different. You could feel secure even if you're not. And you can be secure even if you don't feel it. Really, we have two separate concepts mapped onto the same word. And what I want to do in this talk is to split them apart -- figuring out when they diverge and how they converge. And language is actually a problem here. There aren't a lot of good words for the concepts we're going to talk about. So if you look at security from economic terms, it's a trade-off.
בטחון הוא שני דברים שונים: הוא תחושה, והוא מציאות. ואלו דברים שונים. אתה יכול לחוש בטוח אפילו כשאתה לא. ואתה יכול להיות בטוח אפילו בלי לחוש כך. באמת, יש לנו שני מושגים שונים שמתייחסים לאותה המילה. ומה שאני רוצה לעשות בהרצאה זו הוא להפריד ביניהם -- למצוא מתי הם נפרדים ומתי הם מתלכדים. והשפה היא למעשה בעיה כאן. אין הרבה מילים טובות עבור המושגים עליהם נדבר. אז כשמסתכלים על בטחון מבחינה כלכלית, יש פה פשרה.
Every time you get some security, you're always trading off something. Whether this is a personal decision -- whether you're going to install a burglar alarm in your home -- or a national decision, where you're going to invade a foreign country -- you're going to trade off something: money or time, convenience, capabilities, maybe fundamental liberties. And the question to ask when you look at a security anything is not whether this makes us safer, but whether it's worth the trade-off. You've heard in the past several years, the world is safer because Saddam Hussein is not in power. That might be true, but it's not terribly relevant. The question is: Was it worth it? And you can make your own decision, and then you'll decide whether the invasion was worth it. That's how you think about security: in terms of the trade-off.
בכל פעם שמשיגים קצת בטחון, מתפשרים על משהו. בין אם זו החלטה אישית -- אם מחליטים להתקין בבית אזעקה נגד פורצים -- או החלטה לאומית -- כשמחליטים לפלוש לאיזו מדינה -- צריך להתפשר על משהו, כסף או זמן, נוחות, יכולות, ואולי חירויות יסוד. והשאלה שיש לשאול כשבוחנים אבטחה כלשהי היא לא אם היא משפרת את הבטחון שלנו, אלא אם היא שווה את הפשרה. שמעתם במהלך השנים האחרונות, שהעולם בטוח יותר כי סדאם חוסיין כבר לא בשלטון. זה עשוי להיות נכון, אבל זה לא ממש רלבנטי. השאלה היא, האם זה השתלם? ואתם יכולים להחליט בעצמכם, אתם תחליטו האם הפלישה השתלמה. כך אתם צריכים לחשוב על בטחון -- במונחים של פשרה.
Now, there's often no right or wrong here. Some of us have a burglar alarm system at home and some of us don't. And it'll depend on where we live, whether we live alone or have a family, how much cool stuff we have, how much we're willing to accept the risk of theft. In politics also, there are different opinions. A lot of times, these trade-offs are about more than just security, and I think that's really important. Now, people have a natural intuition about these trade-offs. We make them every day. Last night in my hotel room, when I decided to double-lock the door, or you in your car when you drove here; when we go eat lunch and decide the food's not poison and we'll eat it.
לעתים אין "נכון" או "לא נכון". לחלקנו יש בבית מערכת אזעקה, ולחלקנו לא. וזה תלוי במקום בו אנו גרים, האם אנחנו גרים לבד או שיש לנו משפחה, בכמות הדברים היקרים שיש לנו, עד כמה אנחנו מוכנים לקבל את הסיכון שתהיה גניבה. גם בפוליטיקה, יש דיעות שונות. במקרים רבים, פשרות אלו קשורות ביותר מאשר בטחון, ואני חושב שזה מאוד חשוב. לאנשים יש אינטואיציה טבעית לגבי פשרות אלו. אנו עושים אותן כל יום -- אתמול בלילה, בחדרי במלון, כשהחלטתי לנעול את הדלת נעילה כפולה, או אתם במכונית, כשנהגתם הנה, כשאנחנו הולכים לאכול ארוחת צהריים ומחליטים שהמזון אינו רעיל ואוכלים אותו.
We make these trade-offs again and again, multiple times a day. We often won't even notice them. They're just part of being alive; we all do it. Every species does it. Imagine a rabbit in a field, eating grass. And the rabbit sees a fox. That rabbit will make a security trade-off: "Should I stay, or should I flee?" And if you think about it, the rabbits that are good at making that trade-off will tend to live and reproduce, and the rabbits that are bad at it will get eaten or starve. So you'd think that us, as a successful species on the planet -- you, me, everybody -- would be really good at making these trade-offs. Yet it seems, again and again, that we're hopelessly bad at it.
אנו מתפשרים כך שוב ושוב פעמים רבות ביום. לרוב אנו בכלל לא מבחינים בזאת. הן פשוט חלק מהחיים. כולנו עושים את זה. כל המינים עושים את זה. דמיינו ארנב שאוכל עשב בשדה, והארנב רואה שועל. הארנב יעשה פשרת-אבטחה: "האם עלי להישאר או לברוח?" ואם חושבים על זה, הארנבים שטובים בעשיית הפשרה הזו יזכו לחיות ולהתרבות, והארנבים שישגו בבחירתם ייטרפו או יגוועו ברעב. הייתם חושבים שאנחנו, כמין מצליח בכדור הארץ -- אתם, אני, כולם -- נהיה ממש טובים בהתפשרויות האלה. ובכל זאת נראה, פעם אחר פעם, שאנחנו גרועים בזה ללא תקנה.
And I think that's a fundamentally interesting question. I'll give you the short answer. The answer is, we respond to the feeling of security and not the reality. Now, most of the time, that works. Most of the time, feeling and reality are the same. Certainly that's true for most of human prehistory. We've developed this ability because it makes evolutionary sense. One way to think of it is that we're highly optimized for risk decisions that are endemic to living in small family groups in the East African Highlands in 100,000 BC. 2010 New York, not so much. Now, there are several biases in risk perception. A lot of good experiments in this. And you can see certain biases that come up again and again. I'll give you four.
ואני חושב שזוהי שאלה מעניינת מיסודה. אתן לכם תשובה קצרה. התשובה היא, שאנחנו מגיבים לתחושת הבטחון ולא למציאות. לרוב, זה עובד. ברוב המקרים, התחושה והמציאות שווים. זה ללא ספק נכון במשך רוב הפרהיסטוריה האנושית. פיתחנו את היכולת הזו כי היא היתה הגיונית מבחינה אבולוציונית. דרך אחת להסתכל על זה היא שהגענו למיטוב גבוה מאוד בהחלטות הנוגעות לסיכונים ששייכים לחיים בקבוצות משפחתיות קטנות ברמות של מזרח אפריקה, כ-100,000 שנה לפני הספירה -- ולא כל כך בניו-יורק של 2010. קיימות הטיות מסויימות בקשר לתפישת סיכון. נעשו מחקרים טובים רבים על כך, וניתן לראות שהטיות מסויימות עולות שוב ושוב. אתן לכם ארבע.
We tend to exaggerate spectacular and rare risks and downplay common risks -- so, flying versus driving. The unknown is perceived to be riskier than the familiar. One example would be: people fear kidnapping by strangers, when the data supports that kidnapping by relatives is much more common. This is for children. Third, personified risks are perceived to be greater than anonymous risks. So, Bin Laden is scarier because he has a name. And the fourth is: people underestimate risks in situations they do control and overestimate them in situations they don't control. So once you take up skydiving or smoking, you downplay the risks. If a risk is thrust upon you -- terrorism is a good example -- you'll overplay it, because you don't feel like it's in your control.
אנו נוטים להגזים בנוגע לסיכונים מרשימים ונדירים ולהמעיט בסיכונים נפוצים -- כמו טיסה לעומת נהיגה. הבלתי ידוע נתפש כמסוכן יותר מאשר המוכּר. דוגמה אחת תהיה: אנשים חוששים מחטיפה ע"י זרים, כשהנתונים מראים שחטיפה ע"י קרובים נפוצה הרבה יותר. זה בנוגע לילדים. שלישית, סיכונים מזוהים נתפשים כגדולים יותר מסיכונים אנונימיים -- אז בן-לאדן מפחיד יותר כי יש לו שם. ורביעית, אנשים מפחיתים בהערכת עוצמת הסיכונים במצבים שבהם הם שולטים ומפריזים בהערכתם במצבים בהם אינם שולטים. אז כשמתחילים בצניחה חופשית ובעישון, ממעיטים בערך הסיכונים. אם הסיכון נכפה עליכם -- טרור הוא דוגמה טובה -- אתם תפריזו בהערכתו, כי אינכם חשים שזה בשליטתכם.
There are a bunch of other of these cognitive biases, that affect our risk decisions. There's the availability heuristic, which basically means we estimate the probability of something by how easy it is to bring instances of it to mind. So you can imagine how that works. If you hear a lot about tiger attacks, there must be a lot of tigers around. You don't hear about lion attacks, there aren't a lot of lions around. This works, until you invent newspapers, because what newspapers do is repeat again and again rare risks. I tell people: if it's in the news, don't worry about it, because by definition, news is something that almost never happens.
יש המון הטיות כאלה, הטיות קוגניטיביות, שמשפיעות על החלטותינו בנוגע לסיכונים. ישנה יוריסטיקת הנגישות, שאומרת, בעיקרון, שאנחנו מעריכים את ההסתברות של משהו לפי המידה בה קל לחשוב על מקרים דומים. אז אתם יכולים לדמיין איך זה עובד. אם שומעים הרבה על תקיפות נמרים, יש ודאי הרבה נמרים באיזור. לא שומעים על תקיפות אריות, אז אין הרבה אריות באיזור. זה עובד עד שממציאים את העיתונים. כי מה שהעיתונים עושים הוא לחזור שוב ושוב על סיכונים נדירים אני אומר לאנשים, אם זה בחדשות, אין לכם מה לדאוג. כי בהגדרה, חדשות הן משהו שכמעט אף פעם לא קורה.
(Laughter)
(צחוק)
When something is so common, it's no longer news. Car crashes, domestic violence -- those are the risks you worry about. We're also a species of storytellers. We respond to stories more than data. And there's some basic innumeracy going on. I mean, the joke "One, two, three, many" is kind of right. We're really good at small numbers. One mango, two mangoes, three mangoes, 10,000 mangoes, 100,000 mangoes -- it's still more mangoes you can eat before they rot. So one half, one quarter, one fifth -- we're good at that. One in a million, one in a billion -- they're both almost never.
כשמשהו נפוץ, הוא כבר לא חדשות -- התנגשויות של מכוניות, אלימות במשפחה -- מהדברים האלה צריך לחשוש. אנו גם מין של מספרי סיפורים. אנו מגיבים לסיפורים יותר מאשר לנתונים. וקיימת כאן גם בעיה של כישורי-יסוד מתמטיים. הבדיחה "אחת, שתיים, שלוש, הרבה" היא די נכונה. אנחנו ממש טובים במספרים קטנים. מנגו אחד, שני מנגואים, שלושה מנגואים, 10,000 מנגואים, 100,000 מנגואים -- זה עדיין יותר מנגואים ממה שתוכלו לאכול לפני שיירקבו. אז חצי אחד, רבע אחד, חמישית -- אנחנו טובים בזה. אחד למיליון, אחד למיליארד, שניהם זהים ל"כמעט אף פעם".
So we have trouble with the risks that aren't very common. And what these cognitive biases do is they act as filters between us and reality. And the result is that feeling and reality get out of whack, they get different. Now, you either have a feeling -- you feel more secure than you are, there's a false sense of security. Or the other way, and that's a false sense of insecurity.
אז יש לנו בעיה עם הסיכונים שאינם מאוד נפוצים. ומה שההטיות הקוגניטיביות האלה עושות הוא שהן חוצצות בינינו לבין המציאות. והתוצאה היא שהתחושה והמציאות לא מתואמות, הן נעשות שונות. אז או שיש לכם תחושה-- אתם חשים יותר בטוחים מכפי שאתם באמת. זוהי תחושת שווא של בטחון. או להיפך, וזוהי תחושת שווא של חוסר בטחון.
I write a lot about "security theater," which are products that make people feel secure, but don't actually do anything. There's no real word for stuff that makes us secure, but doesn't make us feel secure. Maybe it's what the CIA is supposed to do for us. So back to economics. If economics, if the market, drives security, and if people make trade-offs based on the feeling of security, then the smart thing for companies to do for the economic incentives is to make people feel secure. And there are two ways to do this.
כתבתי רבות על "תיאטרון הביטחון", מוצרים שגורמים לאנשים לחוש בטוחים, אבל למעשה לא עושים כלום. אין מילה אמיתית עבור משהו שגורם לנו להיות בטוחים, אבל לא גורם לנו לחוש בטוחים. אולי זה מה שהסי-איי-איי אמור לספק לנו. אז בחזרה לכלכלה. אם כלכלה, אם השוק, מניעים את הביטחון, ואם אנשים מתפשרים על סמך תחושת הבטחון, אז הדבר החכם שחברות צריכות לעשות בגלל התמריץ הכלכלי הוא לגרום לאנשים לחוש בטוחים. ויש שתי דרכים לעשות זאת.
One, you can make people actually secure and hope they notice. Or two, you can make people just feel secure and hope they don't notice. Right? So what makes people notice? Well, a couple of things: understanding of the security, of the risks, the threats, the countermeasures, how they work. But if you know stuff, you're more likely to have your feelings match reality. Enough real-world examples helps. We all know the crime rate in our neighborhood, because we live there, and we get a feeling about it that basically matches reality. Security theater is exposed when it's obvious that it's not working properly.
אחת, אפשר לגרום לאנשים להיות באמת בטוחים ולקוות שישגיחו בכך. או שתיים, אפשר לגרום להם רק לחוש בטוחים ולקוות שהם לא ישימו לב. אז מה גורם לאנשים לשים לב? ובכן, מספר דברים: הבנה בביטחון, של הסיכונים, האיומים, של אמצעי הנגד, איך הם פועלים. אבל אם מבינים משהו, סביר יותר שהתחושות יתאימו למציאות. די במספיק דוגמאות מהעולם האמיתי. כולנו יודעים מהי רמת הפשע בשכונה שלנו, כי אנחנו גרים שם, ויש לנו תחושה בקשר לזה שעקרונית תואמת למציאות. תיאטרון הביטחון נחשף כשברור שזה לא עובד טוב.
OK. So what makes people not notice? Well, a poor understanding. If you don't understand the risks, you don't understand the costs, you're likely to get the trade-off wrong, and your feeling doesn't match reality. Not enough examples. There's an inherent problem with low-probability events. If, for example, terrorism almost never happens, it's really hard to judge the efficacy of counter-terrorist measures. This is why you keep sacrificing virgins, and why your unicorn defenses are working just great. There aren't enough examples of failures. Also, feelings that cloud the issues -- the cognitive biases I talked about earlier: fears, folk beliefs -- basically, an inadequate model of reality.
אז מה גורם לאנשים לא לשים לב? ובכן, הבנה גרועה. אם לא מבינים את הסיכונים, לא מבינים את העלויות, וסביר שעושים פשרות שגויות, והתחושה לא תואמת את המציאות. לא מספיק דוגמאות. יש בעייתיות מובנית באירועים בעלי הסתברות נמוכה. אם, לדוגמה, הטרור לא מתרחש כמעט אף פעם, ממש קשה להעריך את יעילותם של אמצעים נגד טרור. לכן ממשיכים להקריב בתולות, ולכן הגנות החד-קרן שלכם פשוט עובדות מעולה. אין מספיק דוגמאות לכשלונות. ובנוסף, תחושות שמערפלות את הבעיות -- ההטיות המחשבתיות שדיברתי עליהן קודם, פחד, אמונות עממיות, בעקרון, מודל לא מספק של המציאות.
So let me complicate things. I have feeling and reality. I want to add a third element. I want to add "model." Feeling and model are in our head, reality is the outside world; it doesn't change, it's real. Feeling is based on our intuition, model is based on reason. That's basically the difference. In a primitive and simple world, there's really no reason for a model, because feeling is close to reality. You don't need a model. But in a modern and complex world, you need models to understand a lot of the risks we face.
אז הרשו לי לסבך את הדברים. יש לי תחושה ומציאות. אני רוצה להוסיף גורם שלישי. אני רוצה להוסיף מודל. תחושה ומודל נמצאים בראש שלנו, המציאות היא העולם החיצון. היא לא משתנה. היא ממשית. אז התחושה מבוססת על האינטואיציה שלנו. המודל מבוסס על מחשבה. זהו בעקרון ההבדל. בעולם פרימיטיבי ופשוט, אין סיבה אמיתית למודל. כי התחושה קרובה למציאות. לא צריך מודל. אבל בעולם מודרני ומורכב, צריך מודל כדי להבין רבים מהסיכונים שניצבים בפנינו.
There's no feeling about germs. You need a model to understand them. This model is an intelligent representation of reality. It's, of course, limited by science, by technology. We couldn't have a germ theory of disease before we invented the microscope to see them. It's limited by our cognitive biases. But it has the ability to override our feelings. Where do we get these models? We get them from others. We get them from religion, from culture, teachers, elders.
אין תחושה בנוגע לחיידקים. צריך מודל כדי להבין אותם. אז המודל הזה הוא ייצוג תבוני של המציאות. הוא מוגבל כמובן ע"י המדע, ע"י הטכנולוגיה. לא יכלה להיות לנו תאוריית חיידקים על מחלות לפני שהמצאנו את המיקרוסקופ שמאפשר לראות אותם. הוא מוגבל ע"י ההטיות המחשבתיות שלנו. אבל יש לו היכולת להתגבר על התחושות שלנו מאין אנחנו מקבלים מודלים אלה? אנחנו מקבלים אותם מאחרים. אנחנו מקבלים אותם מהדת, מהמסורת, ממורים, מזקנים.
A couple years ago, I was in South Africa on safari. The tracker I was with grew up in Kruger National Park. He had some very complex models of how to survive. And it depended on if you were attacked by a lion, leopard, rhino, or elephant -- and when you had to run away, when you couldn't run away, when you had to climb a tree, when you could never climb a tree. I would have died in a day. But he was born there, and he understood how to survive. I was born in New York City. I could have taken him to New York, and he would have died in a day.
לפני כמה שנים הייתי בספארי בדרום אפריקה. הגשש שהייתי איתו גדל בפארק הלאומי קרוגר. היו לו כמה מודלים מורכבים מאוד כיצד לשרוד. וזה היה תלוי בשאלה אם הותקפת ע"י אריה, נמר, קרנף או פיל -- מתי היית צריך לברוח, או מתי היית צריך לטפס על עץ -- או שלא היית מצליח לטפס על עץ. הייתי מת תוך יום אחד, אבל הוא נולד שם, והוא הבין איך לשרוד. אני נולדתי בעיר ניו יורק. הייתי יכול לקחת אותו לניו יורק, והוא היה מת תוך יום.
(Laughter)
(צחוק)
Because we had different models based on our different experiences. Models can come from the media, from our elected officials ... Think of models of terrorism, child kidnapping, airline safety, car safety. Models can come from industry. The two I'm following are surveillance cameras, ID cards, quite a lot of our computer security models come from there.
בגלל שיש לנו מודלים שונים המבוססים על נסיון החיים השונה שלנו. מודלים יכולים לבוא מהתקשורת, מהנבחרים שלנו. חישבו על מודלים של טרור, חטיפות ילדים, בטיחות טיסה, בטיחות רכב. מודלים יכולים לבוא מהתעשייה. השניים שאני עוקב אחריהם הם מצלמות מעקב, תעודות זהות, רבים ממודלי אבטחת המחשבים שלנו באים משם.
A lot of models come from science. Health models are a great example. Think of cancer, bird flu, swine flu, SARS. All of our feelings of security about those diseases come from models given to us, really, by science filtered through the media. So models can change. Models are not static. As we become more comfortable in our environments, our model can move closer to our feelings.
מודלים רבים באים מהמדע. מודלים רפואיים הם דוגמא מצויינת. חישבו על סרטן, שפעת העופות, שפעת החזירים, סארס. כל התחושות שלנו לגבי ביטחון לגבי המחלות האלה מגיעות ממודלים שניתנים לנו, באמת, ע"י מדענים לאחר סינון של התקשורת. אז מודלים עשויים להשתנות. מודלים אינם סטטיים. ככל שאנחנו חשים יותר בנוח בסביבה שלנו, המודלים שלנו יכולים להתקרב לתחושותינו.
So an example might be, if you go back 100 years ago, when electricity was first becoming common, there were a lot of fears about it. There were people who were afraid to push doorbells, because there was electricity in there, and that was dangerous. For us, we're very facile around electricity. We change light bulbs without even thinking about it. Our model of security around electricity is something we were born into. It hasn't changed as we were growing up. And we're good at it. Or think of the risks on the Internet across generations -- how your parents approach Internet security, versus how you do, versus how our kids will.
דוגמה אחת עשויה להיות, אם חוזרים 100 שנה לאחור כשהחשמל החל להיות נפוץ, הוא לווה בהרבה מאוד חששות. היו אנשים שחששו ללחוץ על פעמוני דלתות, כי חששו מהחשמל שבהם, וזה היה מסוכן. אנחנו מרגישים בנוח עם חשמל. אנחנו מחליפים נורות אפילו בלי לחשוב על זה. המודל שלנו לגבי בטחון עם חשמל, הוא משהו שנולדנו לתוכו. הוא לא השתנה כשהתבגרנו. ואנחנו טובים בזה. או חישבו על הסיכונים שבאינטרנט בין הדורות -- איך ההורים שלכם מתייחסים לביטחון באינטרנט, לעומתכם, ולעומת הילדים שלכם.
Models eventually fade into the background. "Intuitive" is just another word for familiar. So as your model is close to reality and it converges with feelings, you often don't even know it's there. A nice example of this came from last year and swine flu. When swine flu first appeared, the initial news caused a lot of overreaction. Now, it had a name, which made it scarier than the regular flu, even though it was more deadly. And people thought doctors should be able to deal with it. So there was that feeling of lack of control. And those two things made the risk more than it was.
מודלים סופם להימוג ברקע. "אינטואיטיבי" היא בסה"כ מילה אחרת ל"מוכר". אז ככל שהמודל שלכם קרוב למציאות, והוא מתמזג עם התחושות, אתם לא יודעים שהוא שם. אז דוגמה נחמדה לזה באה משנה שעברה ומשפעת החזירים. כששפעת החזירים הופיעה לראשונה, החדשות הראשונות יצרו תגובת-יתר רבה. עכשיו יש לזה שם, שהפך את זה למפחיד יותר משפעת רגילה, למרות שהיתה קטלנית יותר. ואנשים חשבו שרופאים אמורים להיות מסוגלים לטפל בזה. אז היתה התחושה הזו של חוסר שליטה. ושני הדברים האלה
As the novelty wore off and the months went by, there was some amount of tolerance; people got used to it. There was no new data, but there was less fear. By autumn, people thought the doctors should have solved this already. And there's kind of a bifurcation: people had to choose between fear and acceptance -- actually, fear and indifference -- and they kind of chose suspicion. And when the vaccine appeared last winter, there were a lot of people -- a surprising number -- who refused to get it. And it's a nice example of how people's feelings of security change, how their model changes, sort of wildly, with no new information, with no new input. This kind of thing happens a lot.
העצימו את הסיכון יותר מפי שהיה באמת. כשהחידוש נמוג, החודשים עברו, נוצרה תחושה מסויימת של עמידות, אנשים התרגלו. לא היו נתונים חדשים, אבל היה פחות פחד. עד לסתיו, אנשים חשבו שהרופאים היו צריכים כבר לפתור את זה. ויש כאן סוג של התפצלות -- אנשים נאלצו לבחור בין פחד לקבלה -- למעשה בין פחד לעצמאות -- הם די בחרו בחשד. וכשהחיסון הופיע בחורף שעבר, היו הרבה אנשים -- מספר מפתיע -- שסירבו לקבל אותו -- דוגמה נחמדה איך תחושות הבטחון של אנשים משתנות, איך המודלים שלהם משתנים, בצורה די פרועה ללא מידע חדש, ללא קלט חדש. דברים כאלה קורים פעמים רבות.
I'm going to give one more complication. We have feeling, model, reality. I have a very relativistic view of security. I think it depends on the observer. And most security decisions have a variety of people involved. And stakeholders with specific trade-offs will try to influence the decision. And I call that their agenda. And you see agenda -- this is marketing, this is politics -- trying to convince you to have one model versus another, trying to convince you to ignore a model and trust your feelings, marginalizing people with models you don't like. This is not uncommon. An example, a great example, is the risk of smoking. In the history of the past 50 years, the smoking risk shows how a model changes, and it also shows how an industry fights against a model it doesn't like.
אוסיף עוד מרכיב. יש לנו תחושה, מודל, מציאות, יש לי השקפה מאוד יחסית על בטחון. אני חושב שהיא תלויה במשקיף. ורוב החלטות הבטחון מערבות מגוון אנשים. ובעלי עניין, עם פשרות ספציפיות ינסו להשפיע על ההחלטה. ואני קורא לזה "סדר היום שלהם". וסדר היום הזה -- הוא שיווק, פוליטיקה -- נסיון לשכנע לאמץ מודל כזה ולא אחר, נסיון לשכנע להתעלם ממודל ולסמוך על התחושות, לדחוק לשוליים אנשים עם מודלים שהם לא אוהבים. זה לא נדיר. דוגמה, דוגמה מצויינת, היא הסיכון שבעישון. בהיסטוריה של 50 השנים האחרונות, הסיכון שבעישון מדגים איך המודל השתנה, וגם מראה איך תעשייה נלחמת נגד מודל שהיא לא אוהבת.
Compare that to the secondhand smoke debate -- probably about 20 years behind. Think about seat belts. When I was a kid, no one wore a seat belt. Nowadays, no kid will let you drive if you're not wearing a seat belt. Compare that to the airbag debate, probably about 30 years behind. All examples of models changing. What we learn is that changing models is hard. Models are hard to dislodge. If they equal your feelings, you don't even know you have a model. And there's another cognitive bias I'll call confirmation bias, where we tend to accept data that confirms our beliefs and reject data that contradicts our beliefs. So evidence against our model, we're likely to ignore, even if it's compelling. It has to get very compelling before we'll pay attention.
השוו את זה לדיון על מעשנים פסיבים -- בטח בפיגור של כ-20 שנה. חישבו על חגורות בטיחות. כשהייתי ילד, איש לא חגר חגורות בטיחות. היום, אף ילד לא ייתן לך לנהוג אם לא תחגור חגורת בטיחות. השוו את זה לדיון לגבי כריות האוויר -- בטח בפיגור של כ-30 שנה. כל הדוגמאות של שינוי מודלים. מה שאנחנו למדים הוא ששינוי מודלים הוא קשה. קשה לסלק מודלים. אם הם שווים לתחושות, אפילו לא יודעים שיש מודל. וישנה גם הטיה מחשבתית אחרת אני קורא לה הטיית האישוש, שבה אנחנו נוטים לקבל נתונים שמאששים את האמונות שלנו ודוחים מידע שסותר את האמונות שלנו. אז עדויות נגד המודל שלנו, צפוי שנתעלם מהן, אפילו אם הן משכנעות. הן חייבות להיות מאוד משכנעות לפני שנשים לב אליהן.
New models that extend long periods of time are hard. Global warming is a great example. We're terrible at models that span 80 years. We can do "to the next harvest." We can often do "until our kids grow up." But "80 years," we're just not good at. So it's a very hard model to accept. We can have both models in our head simultaneously -- that kind of problem where we're holding both beliefs together, the cognitive dissonance. Eventually, the new model will replace the old model.
מודלים חדשים שמשתרעים על פני תקופה ארוכה הם קשים. התחממות גלובלית היא דוגמא מצויינת. אנחנו גרועים בנוגע למודלים שמשתרעים על פני 80 שנה. אנחנו יכולים לתכנן עד לקציר הקרוב. אנחנו יכולים לעתים לתכנן עד שילדינו יגדלו. אבל 80 שנה - אנחנו פשוט לא טובים בזה. אז זה מודל שקשה מאוד לקבלו. אנחנו יכולים להחזיק בראשינו את שני המודלים בו-זמנית, הבעיה הזו, שבה אנחנו מחזיקים את שתי האמונות ביחד, הדיסוננס הקוגניטיבי הזה. לבסוף,
Strong feelings can create a model.
המודל החדש יחליף את המודל הישן.
September 11 created a security model in a lot of people's heads. Also, personal experiences with crime can do it, personal health scare, a health scare in the news. You'll see these called "flashbulb events" by psychiatrists. They can create a model instantaneously, because they're very emotive. So in the technological world, we don't have experience to judge models. And we rely on others. We rely on proxies. And this works, as long as it's the correct others.
תחושות עזות יכולות ליצור מודל. ה-11 בספטמבר יצר מודל בטחון בראשי אנשים רבים. בנוסף, גם ניסיון אישי של היתקלות בפשע יכול לעשות את זה, פחד מפני בעיות בריאות אישיות, הפחדה בנוגע לבריאות בחדשות. הם נקראים "אירועי הבזק" ע"י פסיכיאטרים. הם יכולים ליצור מודל באופן מיידי, כי הם מאוד רגשיים. אז בעולם הטכנולוגי, אין לנו ניסיון כדי לשפוט מודלים. ואנחנו סומכים על אחרים. אנחנו סומכים על נציגים. כלומר, זה עובד כל עוד זה נועד לתקן אחרים.
We rely on government agencies to tell us what pharmaceuticals are safe. I flew here yesterday. I didn't check the airplane. I relied on some other group to determine whether my plane was safe to fly. We're here, none of us fear the roof is going to collapse on us, not because we checked, but because we're pretty sure the building codes here are good. It's a model we just accept pretty much by faith. And that's OK.
אנחנו סומכים על סוכנויות ממשלתיות כדי שיגידו לנו אילו תרופות בטוחות. טסתי לכאן אתמול. לא בדקתי את המטוס. סמכתי על קבוצה אחרת שתקבע אם המטוס שלי בטוח לטיסה. אנחנו כאן, איש מאיתנו לא חושש שהגג יתמוטט עלינו, לא בגלל שבדקנו, אלא בגלל שאנחנו די בטוחים שתקני הבנייה פה טובים. זהו מודל שאנחנו פשוט מקבלים פחות או יותר ע"י אמונה. וזה בסדר.
Now, what we want is people to get familiar enough with better models, have it reflected in their feelings, to allow them to make security trade-offs. When these go out of whack, you have two options. One, you can fix people's feelings, directly appeal to feelings. It's manipulation, but it can work. The second, more honest way is to actually fix the model. Change happens slowly. The smoking debate took 40 years -- and that was an easy one. Some of this stuff is hard. Really, though, information seems like our best hope.
ומה שאנחנו רוצים הוא שאנשים יכירו טוב יותר מודלים טובים יותר -- שישתקפו בתחושותיהם -- שיאפשרו להם לעשות פשרות בטחון. וכשזה יוצא משליטה, יש שתי אופציות. אחת, אפשר לתקן את התחושות של אנשים, לפנות ישר אל התחושות. זוהי מניפולציה, אבל זה יכול לעבוד. שתיים, דרך הוגנת יותר היא לתקן ממש את המודל. שינוי מתרחש לאט. הדיון על העישון לקח 40 שנה, וזה עוד היה קל. חלק מהדברים האלה קשים. אבל ממש, מידע נראה כתקווה הטובה ביותר שלנו.
And I lied. Remember I said feeling, model, reality; reality doesn't change? It actually does. We live in a technological world; reality changes all the time. So we might have, for the first time in our species: feeling chases model, model chases reality, reality's moving -- they might never catch up. We don't know. But in the long term, both feeling and reality are important.
ואני שיקרתי. זיכרו שאמרתי תחושות, מודל, מציאות. אמרתי שמציאות אינה משתנה. היא כן. אנחנו חיים בעולם טכנולוגי. המציאות משתנה כל הזמן. יכול להיות שיש לנו -- לראשונה בתולדות האנושות -- תחושה שרודפת אחרי מודל, מודל שרודף אחרי המציאות, המציאות מתקדמת -- אולי הם לעולם לא ישיגו זה את זה. אנחנו לא יודעים. אבל בטווח הארוך, גם התחושות וגם המציאות חשובות.
And I want to close with two quick stories to illustrate this. 1982 -- I don't know if people will remember this -- there was a short epidemic of Tylenol poisonings in the United States. It's a horrific story. Someone took a bottle of Tylenol, put poison in it, closed it up, put it back on the shelf, someone else bought it and died. This terrified people. There were a couple of copycat attacks. There wasn't any real risk, but people were scared. And this is how the tamper-proof drug industry was invented. Those tamper-proof caps? That came from this. It's complete security theater. As a homework assignment, think of 10 ways to get around it. I'll give you one: a syringe. But it made people feel better. It made their feeling of security more match the reality.
ואני רוצה לסכם עם שני סיפורים קצרים כדי להמחיש את זה. ב-1982 -- לא יודע אם אנשים יזכרו את זה -- היתה מגיפה קצרה של הרעלת טיילנול בארה"ב. זהו סיפור נורא. מישהו לקח בקבוק טיילנול, שם בתוכו רעל, סגר והחזיר למדף. מישהו אחר קנה אותו ומת. זה הפחיד מאוד אנשים. היו מספר התקפות של חקיינים. לא כל היה סיכון אמיתי, אבל אנשים חששו. וכך הומצאה תעשיית התרופות שלא ניתן "לטפל" בהן. המכסים האלה שלא ניתן לפתוח, שבאו בעקבות זה. זהו "תיאטרון בטחון" שלם. בתור שיעורי בית, חישבו על 10 דרכים שונות לעקוף את זה. אתן לכם אחת, מזרק. אבל זה שיפר את תחושתם של אנשים. זה גרם לתחושת הבטחון שלהם להתאים יותר למציאות.
Last story: a few years ago, a friend of mine gave birth. I visit her in the hospital. It turns out, when a baby's born now, they put an RFID bracelet on the baby, a corresponding one on the mother, so if anyone other than the mother takes the baby out of the maternity ward, an alarm goes off. I said, "Well, that's kind of neat. I wonder how rampant baby snatching is out of hospitals." I go home, I look it up. It basically never happens.
סיפור אחרון: לפני כמה שנים, ידידה שלי ילדה. ביקרתי אותה בבית החולים. מתברר שהיום, כשתינוק נולד, מצמידים ליד שלו צמיד עם משדר רדיו, ומצמידים צמיד תואם לאמא שלו, כך שאם מישהו פרט לאמא מוציא את התינוק ממחלקת היולדות, נשמעת אזעקה. אמרתי: "טוב, זה מגניב. "מעניין עד כמה נפוצות הן חטיפות של תינוקות "מבתי חולים." חזרתי הביתה, בדקתי את זה. זה למעשה מעולם לא קרה.
(Laughter)
אבל כשחושבים על זה,
But if you think about it, if you are a hospital, and you need to take a baby away from its mother, out of the room to run some tests, you better have some good security theater, or she's going to rip your arm off.
אם אתם בית חולים, ואתם צריך להרחיק תינוק מאמא שלו, אל מחוץ לחדר כדי לערוך כמה בדיקות, עדיף שיהיה לכם קצת תיאטרון בטחון טוב, אחרת היא תתלוש לך את היד.
(Laughter)
(צחוק)
So it's important for us, those of us who design security, who look at security policy -- or even look at public policy in ways that affect security. It's not just reality; it's feeling and reality. What's important is that they be about the same. It's important that, if our feelings match reality, we make better security trade-offs.
אז זה חשוב לנו, אלו מאיתנו שמתכננים אבטחה, שבוחנים מדיניות אבטחה, או אפילו בוחנים מדיניות ציבורית בדרכים שמשפיעות על בטחון. לא מדובר רק במציאות, אלא בתחושות ובמציאות. מה שחשוב הוא שהן תהיינה בערך אותו דבר. חשוב שאם התחושות שלנו יתאמו למציאות, נעשה פשרות בטחון טובות יותר.
Thank you.
תודה
(Applause)
(מחיאות כפיים)