So, security is two different things: it's a feeling, and it's a reality. And they're different. You could feel secure even if you're not. And you can be secure even if you don't feel it. Really, we have two separate concepts mapped onto the same word. And what I want to do in this talk is to split them apart -- figuring out when they diverge and how they converge. And language is actually a problem here. There aren't a lot of good words for the concepts we're going to talk about. So if you look at security from economic terms, it's a trade-off.
Dunque, la sicurezza ha due aspetti distinti: è una sensazione, ed è una realtà. E queste sono due cose differenti. Vi potreste sentire sicuri anche se non lo siete. E potete essere al sicuro anche se non ne avete la sensazione. In realtà, attribuiamo due concetti separati alla stessa parola. E quello che voglio fare in questo discorso è di dividerli – cercando di capire in che modo divergano ed in che modo convergano. Il linguaggio è effettivamente un problema in questo caso. Non ci sono tante parole adatte per i concetti dei quali parleremo oggi. Quindi, se pensate al concetto di sicurezza in termini economici è un compromesso, una scelta.
Every time you get some security, you're always trading off something. Whether this is a personal decision -- whether you're going to install a burglar alarm in your home -- or a national decision, where you're going to invade a foreign country -- you're going to trade off something: money or time, convenience, capabilities, maybe fundamental liberties. And the question to ask when you look at a security anything is not whether this makes us safer, but whether it's worth the trade-off. You've heard in the past several years, the world is safer because Saddam Hussein is not in power. That might be true, but it's not terribly relevant. The question is: Was it worth it? And you can make your own decision, and then you'll decide whether the invasion was worth it. That's how you think about security: in terms of the trade-off.
Ogni volta che decidete di accrescere la vostra sicurezza, dovete sempre rinunciare a qualcosa. Sia che si tratti di una decisione personale – se ad esempio volete installare un allarme contro i ladri in casa vostra – o che si tratti di una decisione a livello nazionale – se ad esempio volete invadere un paese straniero – dovrete rinunciare a qualcosa, denaro, tempo, convenienza, o capacità, forse libertà fondamentali. E la domanda da fare su qualsiasi cosa inerente alla sicurezza non è tanto se questa ci renda più sicuri, ma piuttosto se ne valga la pena. Negli scorsi anni avete sentito dire che il mondo è più sicuro, ora che Saddam Hussein non è più al potere. Potrebbe essere vero, ma non è di fondamentale importanza. La domanda è, ne è valsa la pena? E voi potete decidere da soli, e poi concluderete se sia valsa la pena di optare per l'invasione. Ecco come pensare al concetto di sicurezza – in termini di scelte.
Now, there's often no right or wrong here. Some of us have a burglar alarm system at home and some of us don't. And it'll depend on where we live, whether we live alone or have a family, how much cool stuff we have, how much we're willing to accept the risk of theft. In politics also, there are different opinions. A lot of times, these trade-offs are about more than just security, and I think that's really important. Now, people have a natural intuition about these trade-offs. We make them every day. Last night in my hotel room, when I decided to double-lock the door, or you in your car when you drove here; when we go eat lunch and decide the food's not poison and we'll eat it.
Spesso non c'è "giusto" o "sbagliato" in queste cose. Alcuni di noi hanno in casa propria un sistema d'allarme contro i ladri, altri no. E dipenderà da dove viviamo, se viviamo da soli o abbiamo una famiglia, quanta bella roba abbiamo, quanto siamo pronti ad accettare il rischio del furto. Anche in politica ci sono differenti opinioni. Parecchie volte, queste scelte non hanno solo a che fare con la sicurezza, ed io penso che questo sia veramente importante. Ora, la gente ha un'intuizione naturale riguardo a queste scelte. Le facciamo tutti i giorni – la notte scorsa, nella mia stanza d'albergo, quando ho deciso di chiudere la porta con due mandate, oppure voi nella vostra macchina, mentre venivate qui, quando pranziamo fuori e decidiamo che il cibo non è veleno e che lo mangeremo.
We make these trade-offs again and again, multiple times a day. We often won't even notice them. They're just part of being alive; we all do it. Every species does it. Imagine a rabbit in a field, eating grass. And the rabbit sees a fox. That rabbit will make a security trade-off: "Should I stay, or should I flee?" And if you think about it, the rabbits that are good at making that trade-off will tend to live and reproduce, and the rabbits that are bad at it will get eaten or starve. So you'd think that us, as a successful species on the planet -- you, me, everybody -- would be really good at making these trade-offs. Yet it seems, again and again, that we're hopelessly bad at it.
Facciamo queste scelte continuamente più volte al giorno. Spesso senza neppure accorgercene. Fanno semplicemente parte dell'essere vivi; lo facciamo tutti. Ogni specie lo fa. Immaginate un coniglio che mangia l'erba in un campo, ed il coniglio vede una volpe. Quel coniglio farà una scelta per la sua sicurezza: "Devo restare, o devo scappare?" E se ci riflettete, i conigli bravi a fare quel tipo di scelta tenderanno a vivere e riprodursi, mentre i conigli meno bravi verranno mangiati o moriranno di fame. Quindi si penserebbe che noi, in qualità di specie vincente su questo pianeta – voi, io, tutti – siamo veramente bravi a fare queste scelte. Ma ogni volta la realtà ci dimostra che siamo inesorabilmente negati.
And I think that's a fundamentally interesting question. I'll give you the short answer. The answer is, we respond to the feeling of security and not the reality. Now, most of the time, that works. Most of the time, feeling and reality are the same. Certainly that's true for most of human prehistory. We've developed this ability because it makes evolutionary sense. One way to think of it is that we're highly optimized for risk decisions that are endemic to living in small family groups in the East African Highlands in 100,000 BC. 2010 New York, not so much. Now, there are several biases in risk perception. A lot of good experiments in this. And you can see certain biases that come up again and again. I'll give you four.
Ed io credo che questa sia una questione fondamentalmente interessante. Vi darò la risposta breve. La risposta è: noi rispondiamo alla sensazione di sicurezza e non alla realtà. Ora, il più delle volte, questo funziona. Il più delle volte, la sensazione e la realtà coincidono. Certamente questo è vero per la maggior parte della preistoria umana. Abbiamo sviluppato questa abilità perchè questo trova riscontro nell'evoluzione. Un modo di vedere questo concetto è che siamo estremamente attrezzati per scelte rischiose endemiche al vivere in piccoli gruppi familiari negli altipiani dell'Africa Orientale nel 100.000 A.C. (Avanti Cristo) – non così nella New York del 2010. Ora, ci sono parecchi preconcetti nella percezione dei rischi. Tanti buoni esperimenti in questo campo. Potete osservare certi preconcetti, o distorsioni, che continuano a riaffiorare. Ve ne darò quattro.
We tend to exaggerate spectacular and rare risks and downplay common risks -- so, flying versus driving. The unknown is perceived to be riskier than the familiar. One example would be: people fear kidnapping by strangers, when the data supports that kidnapping by relatives is much more common. This is for children. Third, personified risks are perceived to be greater than anonymous risks. So, Bin Laden is scarier because he has a name. And the fourth is: people underestimate risks in situations they do control and overestimate them in situations they don't control. So once you take up skydiving or smoking, you downplay the risks. If a risk is thrust upon you -- terrorism is a good example -- you'll overplay it, because you don't feel like it's in your control.
Noi tendiamo ad esagerare rischi spettacolari e rari ed a minimizzare quelli comuni, come ad esempio il volare rispetto al guidare. L'ignoto viene percepito come più rischioso del familiare. Un esempio sarebbe che la gente teme il rapimento da parte di estranei, mentre il rapimento da parte di familiari è statisticamente molto più comune. Questo per quanto riguarda i bambini. Terzo, i rischi personificati vengono percepiti come maggiori dei rischi anonimi, e quindi Bin Laden fa più paura, perché ha un nome. Ed il quarto è che la gente sottovaluta i rischi nelle situazioni sulle quali ha controllo, mentre li sopravvaluta in quelle che non può controllare. Quindi, una volta che iniziate a fare skydiving oppure a fumare, ne minimizzate i rischi. Se un rischio vi arriva da fuori – il terrorismo era un buon esempio – lo sopravvaluterete, perché non avete la sensazione di esserne in controllo.
There are a bunch of other of these cognitive biases, that affect our risk decisions. There's the availability heuristic, which basically means we estimate the probability of something by how easy it is to bring instances of it to mind. So you can imagine how that works. If you hear a lot about tiger attacks, there must be a lot of tigers around. You don't hear about lion attacks, there aren't a lot of lions around. This works, until you invent newspapers, because what newspapers do is repeat again and again rare risks. I tell people: if it's in the news, don't worry about it, because by definition, news is something that almost never happens.
Ci sono un sacco di altre predisposizioni innate, questi errori sistematici cognitivi, che influenzano le nostre decisioni di fronte al rischio. C'è l'euristica della disponibilità, che sostanzialmente significa che noi stimiamo la probabilità di un evento sulla base della facilità con cui siamo in grado di pensare ad esempi relativi. Quindi potete immaginare come funziona. Se sentite parlare tanto di attacchi di tigri, ci devono essere un sacco di tigri in giro. Se non sentite parlare di attacchi di leoni, non ci sono tanti leoni in giro. Questo funziona finchè inventate i giornali. Perchè quello che i giornali fanno è di ripetere continuamente i rischi rari. Io dico alla gente, se fa notizia, non ve ne preoccupate. Perchè, per definizione, la notizia è qualcosa che non succede quasi mai.
(Laughter)
(Risate)
When something is so common, it's no longer news. Car crashes, domestic violence -- those are the risks you worry about. We're also a species of storytellers. We respond to stories more than data. And there's some basic innumeracy going on. I mean, the joke "One, two, three, many" is kind of right. We're really good at small numbers. One mango, two mangoes, three mangoes, 10,000 mangoes, 100,000 mangoes -- it's still more mangoes you can eat before they rot. So one half, one quarter, one fifth -- we're good at that. One in a million, one in a billion -- they're both almost never.
Quando qualcosa è così comune, non fa più notizia; incidenti d'auto, violenza domestica, quelli sono i rischi dei quali vi dovete preoccupare. Noi siamo anche una specie di "raccontastorie". Rispondiamo alle storie molto più che ai numeri. E poi c'`è anche un po' di analfabetismo numerico di base. Intendo dire, la battuta "Uno, due, tre, tanti" è abbastanza giusta. Siamo veramente bravi con i numeri piccoli. Un mango, due manghi, tre manghi, 10.000 manghi, 100.000 manghi, sono sempre più manghi di quanti ne potreste mangiare prima che marciscano tutti. Metà, un quarto, un quinto; siamo bravi in questo. Uno su un milione, uno su un miliardo... entrambi sono come dire "quasi mai".
So we have trouble with the risks that aren't very common. And what these cognitive biases do is they act as filters between us and reality. And the result is that feeling and reality get out of whack, they get different. Now, you either have a feeling -- you feel more secure than you are, there's a false sense of security. Or the other way, and that's a false sense of insecurity.
Quindi abbiamo problemi con i rischi che non sono molto comuni. E quello che fanno queste distorsioni cognitive, è di fungere da filtri tra noi e la realtà. Ed il risultato è che sensazione e realtà vanno fuori fase, diventano diversi. Ora, o avete una sensazione, vi sentite più sicuri di quanto lo siate in realtà. C'è un falso senso di sicurezza. Oppure succede l'opposto, che è un falso senso di insicurezza.
I write a lot about "security theater," which are products that make people feel secure, but don't actually do anything. There's no real word for stuff that makes us secure, but doesn't make us feel secure. Maybe it's what the CIA is supposed to do for us. So back to economics. If economics, if the market, drives security, and if people make trade-offs based on the feeling of security, then the smart thing for companies to do for the economic incentives is to make people feel secure. And there are two ways to do this.
Io scrivo parecchio sul "teatro della sicurezza", prodotti che fanno sentire sicura la gente, ma che in effetti non fanno niente. Non c'è una vera parola per descrivere cose che ci rendono sicuri, ma non ci fanno sentire sicuri. Forse è quello che la CIA dovrebbe fare per noi. Allora, ritornando all'economia. Se l'economia, se il mercato, traina la sicurezza, e se la gente fa delle scelte basate sulla sensazione di sicurezza, allora la cosa intelligente da fare per le aziende per gli incentivi economici è di far sentire sicura la gente. E ci sono due modi per ottenere questo.
One, you can make people actually secure and hope they notice. Or two, you can make people just feel secure and hope they don't notice. Right? So what makes people notice? Well, a couple of things: understanding of the security, of the risks, the threats, the countermeasures, how they work. But if you know stuff, you're more likely to have your feelings match reality. Enough real-world examples helps. We all know the crime rate in our neighborhood, because we live there, and we get a feeling about it that basically matches reality. Security theater is exposed when it's obvious that it's not working properly.
Uno, potete rendere la gente davvero sicura e sperare che se ne accorga. O due, potete solamente farla sentire sicura e sperare che non se ne accorga. Quindi, cos'è che fa in modo che la gente se ne accorga? Beh, un paio di cose: capire la sicurezza, i rischi associati, le minacce, le contromisure, come tutto funziona. Ma se sapete come funzionano le cose, è più probabile che le vostre sensazioni corrispondano alla realtà. Ci sono abbastanza esempi reali che aiutano. Ora, tutti noi conosciamo il tasso di criminalità del nostro vicinato, perchè viviamo lì e abbiamo una sensazione su come vanno le cose che sostanzialmente corrisponde alla realtà. Il teatro della sicurezza è smascherato quando è palese che non funziona come dovrebbe.
OK. So what makes people not notice? Well, a poor understanding. If you don't understand the risks, you don't understand the costs, you're likely to get the trade-off wrong, and your feeling doesn't match reality. Not enough examples. There's an inherent problem with low-probability events. If, for example, terrorism almost never happens, it's really hard to judge the efficacy of counter-terrorist measures. This is why you keep sacrificing virgins, and why your unicorn defenses are working just great. There aren't enough examples of failures. Also, feelings that cloud the issues -- the cognitive biases I talked about earlier: fears, folk beliefs -- basically, an inadequate model of reality.
Okay, quindi, cos'è che fa in modo che la gente non si accorga? Beh, la scarsa comprensione. Se non capite i rischi, se non capite i costi, probabilmente sbaglierete le scelte, e la vostra sensazione non corrisponderà alla realtà. Non ci sono abbastanza esempi. C'è un problema di base relativo ad eventi di scarsa probabilità. Se, ad esempio, il terrorismo non si verifica quasi mai, è veramente difficile giudicare l'efficacia delle misure antiterroristiche. Questa è la ragione per cui si continuano a sacrificare delle vergini, e perchè la difesa dell'unicorno funziona alla grande. Non ci sono sufficienti esempi di fallimenti. Ed inoltre, ci sono sensazioni che offuscano la visione delle cose, le distorsioni cognitive di cui parlavo prima, paure, credenze popolari, sostanzialmente, un modello inadeguato della realtà.
So let me complicate things. I have feeling and reality. I want to add a third element. I want to add "model." Feeling and model are in our head, reality is the outside world; it doesn't change, it's real. Feeling is based on our intuition, model is based on reason. That's basically the difference. In a primitive and simple world, there's really no reason for a model, because feeling is close to reality. You don't need a model. But in a modern and complex world, you need models to understand a lot of the risks we face.
Consentitemi di complicare ulteriormente le cose. Abbiamo sensazione e realtà. Voglio aggiungere un terzo elemento. Voglio aggiungere modello. La sensazione ed il modello sono nella nostra mente, la realtà è il mondo esterno. Non cambia; è reale. Dunque, la sensazione dipende dalla nostra intuizione. Il modello, dal ragionamento. Questa è sostanzialmente la differenza. In un mondo primitivo e semplice, il modello non ha veramente ragion d'essere. Perché la sensazione è vicina alla realtà. Non c'è bisogno di un modello. Ma, in un mondo moderno e complesso, occorrono modelli per capire molti dei rischi che corriamo.
There's no feeling about germs. You need a model to understand them. This model is an intelligent representation of reality. It's, of course, limited by science, by technology. We couldn't have a germ theory of disease before we invented the microscope to see them. It's limited by our cognitive biases. But it has the ability to override our feelings. Where do we get these models? We get them from others. We get them from religion, from culture, teachers, elders.
Non c'è nessuna sensazione riguardo ai germi. Occorre un modello per capirli. Ora, questo modello è un'intelligente rappresentazione della realtà. È, naturalmente, limitato dalla scienza, dalla tecnologia. Non potevamo avere una teoria sui germi patogeni prima che inventassimo il microscopio per poterli vedere. È limitato dalle nostre distorsioni cognitive. Ma ha la capacità di essere più forte delle nostre sensazioni. Da dove prendiamo questi modelli? Li prendiamo dagli altri. Li prendiamo dalla religione, dalla cultura, dai maestri, dagli anziani.
A couple years ago, I was in South Africa on safari. The tracker I was with grew up in Kruger National Park. He had some very complex models of how to survive. And it depended on if you were attacked by a lion, leopard, rhino, or elephant -- and when you had to run away, when you couldn't run away, when you had to climb a tree, when you could never climb a tree. I would have died in a day. But he was born there, and he understood how to survive. I was born in New York City. I could have taken him to New York, and he would have died in a day.
Un paio di anni fa mi trovavo in Sud Africa per un safari. La guida con cui stavo era cresciuta nel Parco Nazionale di Kruger. Aveva dei modelli di sopravvivenza molto complicati. A seconda di chi era l'aggressore, un leone, un leopardo, un rinoceronte o un elefante, diceva quando dovevate scappare, quando arrampicarvi su un albero, e quando non avreste mai dovuto arrampicarvi su un albero. Io sarei morto in un giorno, ma lui era nato lì, ed aveva capito come sopravvivere. Io sono nato a New York City. Avrei potuto portarlo a New York, e lui sarebbe morto in un giorno.
(Laughter)
(Risate)
Because we had different models based on our different experiences. Models can come from the media, from our elected officials ... Think of models of terrorism, child kidnapping, airline safety, car safety. Models can come from industry. The two I'm following are surveillance cameras, ID cards, quite a lot of our computer security models come from there.
Perchè avevamo differenti modelli basati sulle nostre differenti esperienze. I modelli possono derivare dai media, dalle autorità costituite. Pensate ai modelli di terrorismo, di rapimento di bambini, di sicurezza delle linee aeree, di sicurezza delle automobili. I modelli possono venire dall'industria. I due che sto seguendo sono le telecamere di sorveglianza, le carte d'identità, una gran parte dei nostri modelli di sicurezza informatica vengono da lì.
A lot of models come from science. Health models are a great example. Think of cancer, bird flu, swine flu, SARS. All of our feelings of security about those diseases come from models given to us, really, by science filtered through the media. So models can change. Models are not static. As we become more comfortable in our environments, our model can move closer to our feelings.
Moltissimi modelli vengono dalla scienza. I modelli della salute sono un ottimo esempio. Pensate al cancro, all'influenza aviaria, a quella suina, alla SARS. Tutte le nostre sensazioni di sicurezza su queste malattie derivano da modelli effettivamente veicolati sino a noi dalla scienza, filtrata attraverso i media. Quindi i modelli possono cambiare. I modelli non sono statici. Man mano che ci adattiamo al nostro ambiente, i nostri modelli possono avvicinarsi maggiormente alle nostre sensazioni.
So an example might be, if you go back 100 years ago, when electricity was first becoming common, there were a lot of fears about it. There were people who were afraid to push doorbells, because there was electricity in there, and that was dangerous. For us, we're very facile around electricity. We change light bulbs without even thinking about it. Our model of security around electricity is something we were born into. It hasn't changed as we were growing up. And we're good at it. Or think of the risks on the Internet across generations -- how your parents approach Internet security, versus how you do, versus how our kids will.
Per cui, un esempio potrebbe essere, se tornate indietro a 100 anni fa, quando l'elettricità cominciava a diffondersi, aveva generato molte paure. Voglio dire, c'erano persone che avevano paura di premere un campanello, perchè dentro vi era dell'elettricità, e ciò era pericoloso. Noi oggi siamo molto disinvolti con l'elettricità. Cambiamo le lampadine senza neppure pensarci su. Il nostro modello di sicurezza per l'elettricità è qualcosa con cui siamo nati. Non è cambiato mentre crescevamo. E lo conosciamo molto bene. Oppure pensate ai rischi dell'internet per le diverse generazioni; a come i vostri genitori affrontano la sicurezza su internet, rispetto a come l'affrontate voi, rispetto a come l'affronteranno i nostri bambini.
Models eventually fade into the background. "Intuitive" is just another word for familiar. So as your model is close to reality and it converges with feelings, you often don't even know it's there. A nice example of this came from last year and swine flu. When swine flu first appeared, the initial news caused a lot of overreaction. Now, it had a name, which made it scarier than the regular flu, even though it was more deadly. And people thought doctors should be able to deal with it. So there was that feeling of lack of control. And those two things made the risk more than it was.
I modelli alla fine diventano invisibili. "Intuitivo" è solo un altro termine per "familiare". Così, quando il vostro modello si avvicina alla realtà e converge con le sensazioni, spesso non vi accorgete che c'è. Un bell'esempio di ciò è l'influenza suina dello scorso anno. Quando l'influenza suina si manifestò per la prima volta, le prime notizie causarono un grande allarmismo. Ora aveva un nome che la rendeva più spaventosa dell'influenza comune, anche se questa era più mortale. E la gente pensava che i medici fossero in grado di sconfiggerla. Per cui vi fu quella sensazione di impotenza. E queste due cose
As the novelty wore off and the months went by, there was some amount of tolerance; people got used to it. There was no new data, but there was less fear. By autumn, people thought the doctors should have solved this already. And there's kind of a bifurcation: people had to choose between fear and acceptance -- actually, fear and indifference -- and they kind of chose suspicion. And when the vaccine appeared last winter, there were a lot of people -- a surprising number -- who refused to get it. And it's a nice example of how people's feelings of security change, how their model changes, sort of wildly, with no new information, with no new input. This kind of thing happens a lot.
ingigantirono il rischio. Quando la novità svanì, i mesi passarono, vi fu una certa tolleranza, la gente vi si abituò. Non c'erano nuovi dati, ma c'era meno paura. In autunno la gente pensò che i medici dovevano averla già risolta. E c'è una sorta di biforcazione, la gente doveva scegliere tra paura e accettazione, anzi, tra paura e indifferenza. Decisero di scegliere il sospetto. E quando il vaccino apparve lo scorso inverno, vi fu un gran numero di persone -- un numero sorprendente -- che rifiutò di usarlo; un bell'esempio di come il senso di sicurezza della gente cambia, di come cambiano i loro modelli, quasi selvaggiamente senza alcuna nuova informazione, senza alcun nuovo elemento. Questo genere di cose accade frequentemente.
I'm going to give one more complication. We have feeling, model, reality. I have a very relativistic view of security. I think it depends on the observer. And most security decisions have a variety of people involved. And stakeholders with specific trade-offs will try to influence the decision. And I call that their agenda. And you see agenda -- this is marketing, this is politics -- trying to convince you to have one model versus another, trying to convince you to ignore a model and trust your feelings, marginalizing people with models you don't like. This is not uncommon. An example, a great example, is the risk of smoking. In the history of the past 50 years, the smoking risk shows how a model changes, and it also shows how an industry fights against a model it doesn't like.
Rendo la cosa ancor più complicata. Noi abbiamo sensazioni, modelli, realtà. Io ho un punto di vista molto relativistico della sicurezza. Penso che dipenda dall'osservatore. E che la maggior parte delle decisioni sulla sicurezza coinvolgano una varietà di persone. E i venditori di sicurezza con i loro specifici interessi cercheranno di influenzare la decisione. Io la chiamo la loro "agenda". E voi vedete l'agenda; sono il marketing, la politica, che cercano di convincervi ad avere un modello piuttosto che un altro, tentando di convincervi ad ignorare un modello e fidarvi del vostro istinto, emarginando la gente che ha modelli che non vi piacciono. Ciò non è infrequente. Un esempio, un grande esempio, è il rischio associato al fumo. Nella storia degli ultimi 50 anni, il rischio del fumo dimostra come cambia un modello, e dimostra anche come un industria combatte contro un modello che non le piace.
Compare that to the secondhand smoke debate -- probably about 20 years behind. Think about seat belts. When I was a kid, no one wore a seat belt. Nowadays, no kid will let you drive if you're not wearing a seat belt. Compare that to the airbag debate, probably about 30 years behind. All examples of models changing. What we learn is that changing models is hard. Models are hard to dislodge. If they equal your feelings, you don't even know you have a model. And there's another cognitive bias I'll call confirmation bias, where we tend to accept data that confirms our beliefs and reject data that contradicts our beliefs. So evidence against our model, we're likely to ignore, even if it's compelling. It has to get very compelling before we'll pay attention.
Paragonatelo al dibattito sul fumo passivo, probabilmente iniziato una ventina di anni fa. Pensate alle cinture di sicurezza. Quando ero un ragazzino, nessuno metteva una cintura di sicurezza. Oggi, nessun ragazzino vi lascerebbe guidare se non indossate una cintura di sicurezza. Paragonatelo al dibattito sull'airbag, di circa 30 anni or sono. Tutti esempi di modelli che cambiano. Quel che impariamo è che cambiare i modelli è difficile. I modelli sono duri da demolire. Se poi combaciano con le vostre sensazioni, non sapete neppure di averli. E c'è un'altra distorsione cognitiva che chiamerò pregiudizio di conferma, dove noi tendiamo ad accettare i dati che confermano le nostre convinzioni e a respingere quelli che le contraddicono. Altrettanto, l'evidenza contro il nostro modello, noi tendiamo ad ignorarla, anche se è convincente. Deve diventare molto convincente prima che la consideriamo.
New models that extend long periods of time are hard. Global warming is a great example. We're terrible at models that span 80 years. We can do "to the next harvest." We can often do "until our kids grow up." But "80 years," we're just not good at. So it's a very hard model to accept. We can have both models in our head simultaneously -- that kind of problem where we're holding both beliefs together, the cognitive dissonance. Eventually, the new model will replace the old model.
I nuovi modelli che si protraggono per lunghi periodi di tempo sono difficili. Il riscaldamento globale è un grande esempio. Siamo terribili con i modelli che durano 80 anni. Possiamo arrivare sino al prossimo raccolto. Spesso possiamo arrivare fino a quando i nostri figli diventano adulti. Ma per 80 anni, siamo proprio negati. Quindi è un modello molto duro da accettare. Possiamo avere entrambi i modelli nella nostra mente simultaneamente, o quel genere di problema per cui teniamo insieme entrambe le convinzioni, oppure la dissonanza cognitiva. Alla fine,
Strong feelings can create a model.
il nuovo modello rimpiazzerà quello vecchio.
September 11 created a security model in a lot of people's heads. Also, personal experiences with crime can do it, personal health scare, a health scare in the news. You'll see these called "flashbulb events" by psychiatrists. They can create a model instantaneously, because they're very emotive. So in the technological world, we don't have experience to judge models. And we rely on others. We rely on proxies. And this works, as long as it's the correct others.
Sensazioni forti posso creare un modello. L'11 settembre ha creato un modello di sicurezza nella testa di molta gente. Inoltre, esperienze personali con il crimine possono crearlo, così come uno spavento per la propria salute, un allarme sanitario nelle notizie. Vedrete questi "flashbulb events" (ricordi fotografici di un evento pubblico straordinario) così chiamati dagli psichiatri. Possono creare istantaneamente dei modelli, perchè sono molto toccanti. Nel mondo della tecnologia non abbiamo esperienza per giudicare i modelli. E dipendiamo da altri. Ci affidiamo a sostituti. Intendo dire, questo funziona finchè si tratta di correggere altri.
We rely on government agencies to tell us what pharmaceuticals are safe. I flew here yesterday. I didn't check the airplane. I relied on some other group to determine whether my plane was safe to fly. We're here, none of us fear the roof is going to collapse on us, not because we checked, but because we're pretty sure the building codes here are good. It's a model we just accept pretty much by faith. And that's OK.
Ci affidiamo alle agenzie governative per dirci quali farmaci sono sicuri. Ieri sono giunto qui in volo. Non ho ispezionato l'aereo. Mi sono fidato di qualche altro gruppo per determinare se il mio velivolo fosse sicuro per volare. Noi siamo qui, nessuno di noi teme che il tetto ci possa cadere addosso, non perché l'abbiamo verificato, ma perché siamo sufficientemente sicuri che i regolamenti edilizi siano stati rispettati. È un modello che accettiamo praticamente per fede. E va bene che sia così.
Now, what we want is people to get familiar enough with better models, have it reflected in their feelings, to allow them to make security trade-offs. When these go out of whack, you have two options. One, you can fix people's feelings, directly appeal to feelings. It's manipulation, but it can work. The second, more honest way is to actually fix the model. Change happens slowly. The smoking debate took 40 years -- and that was an easy one. Some of this stuff is hard. Really, though, information seems like our best hope.
Ora, ciò che vogliamo è che le persone familiarizzino sufficientemente con modelli migliori; li interiorizzino, in modo che questi si rispecchino nelle loro sensazioni, per permettere loro di fare scelte di sicurezza. Ora, quando queste vanno fuori fase, ci sono due scelte. Una, potete rimettere a posto le sensazioni della gente, appellandovi direttamente ai sentimenti. È una manipolazione, ma può funzionare. La seconda, e più onesta opzione, è quella di aggiustare proprio il modello. I cambiamenti avvengono lentamente. Il dibattito sul fumo è durato 40 anni, e quello era uno facile. Alcune di queste cose sono ostiche. Intendo dire, veramente, l'informazione sembra essere la nostra migliore speranza.
And I lied. Remember I said feeling, model, reality; reality doesn't change? It actually does. We live in a technological world; reality changes all the time. So we might have, for the first time in our species: feeling chases model, model chases reality, reality's moving -- they might never catch up. We don't know. But in the long term, both feeling and reality are important.
E ho mentito. Ricordate quando ho detto sensazione, modello, realtà. Vi ho detto che la realtà non cambia mai. In effetti, cambia. Viviamo in un mondo tecnologico; la realtà cambia continuamente. Per cui possiamo avere -- per la prima volta nella storia della nostra specie -- sensazioni che rincorrono i modelli, modelli che rincorrono la realtà, la realtà in movimento -- potrebbero non raggiungerla mai. Noi non lo sappiamo. Ma, alla lunga, sensazioni e modelli sono ugualmente importanti.
And I want to close with two quick stories to illustrate this. 1982 -- I don't know if people will remember this -- there was a short epidemic of Tylenol poisonings in the United States. It's a horrific story. Someone took a bottle of Tylenol, put poison in it, closed it up, put it back on the shelf, someone else bought it and died. This terrified people. There were a couple of copycat attacks. There wasn't any real risk, but people were scared. And this is how the tamper-proof drug industry was invented. Those tamper-proof caps? That came from this. It's complete security theater. As a homework assignment, think of 10 ways to get around it. I'll give you one: a syringe. But it made people feel better. It made their feeling of security more match the reality.
E desidero chiudere con due veloci storielle per illustrarlo. 1982 -- non so se ve lo ricordate -- vi fu una breve epidemia di avvelenamenti da Tylenol negli Stati Uniti. È una storia orribile. Qualcuno prese un flacone di Tylenol, vi mise del veleno, lo chiuse, e lo rimise sullo scaffale. Qualcun altro lo comprò e morì. Ciò gettò il terrore tra la gente. Vi furono un paio di casi di emulazione. Non c'era alcun rischio reale, ma la gente era spaventata. E questo è come fu inventata l'industria dei medicinali a prova di manomissione. I tappi di sicurezza nacquero da qui. È tutto teatro della sicurezza. Come compito a casa, pensate a 10 modi per aggirarlo. Ve ne do uno, una siringa. Però fece sentir meglio la gente. Fece in modo che il loro senso di sicurezza combaciasse maggiormente con la realtà.
Last story: a few years ago, a friend of mine gave birth. I visit her in the hospital. It turns out, when a baby's born now, they put an RFID bracelet on the baby, a corresponding one on the mother, so if anyone other than the mother takes the baby out of the maternity ward, an alarm goes off. I said, "Well, that's kind of neat. I wonder how rampant baby snatching is out of hospitals." I go home, I look it up. It basically never happens.
Ultima storia; qualche anno fa, una mia amica partorì. Le feci visita in ospedale. A quanto pare, ora, quando nasce un bimbo, gli mettono un braccialetto identificativo (RFID), e ne mettono uno corrispondente alla madre, così che se una donna che non sia la madre porta il neonato fuori dal reparto di maternità, il braccialetto fa scattare un allarme. Ho detto, "Beh, è una bella cosa. Mi chiedo quanto sia dilagante il rapimento di neonati negli ospedali." Vado a casa, indago. Praticamente non succede mai.
(Laughter)
Ma, se ci pensate,
But if you think about it, if you are a hospital, and you need to take a baby away from its mother, out of the room to run some tests, you better have some good security theater, or she's going to rip your arm off.
se voi foste un ospedaliero e aveste necessità di portare via un neonato dalla sua mamma, fuori dalla stanza, per fare qualche esame, fareste meglio ad avere un buon teatro della sicurezza, o questa potrebbe strapparvi un braccio.
(Laughter)
(Risate)
So it's important for us, those of us who design security, who look at security policy -- or even look at public policy in ways that affect security. It's not just reality; it's feeling and reality. What's important is that they be about the same. It's important that, if our feelings match reality, we make better security trade-offs.
È quindi importante per chi di noi progetta la sicurezza, chi analizza le politiche di sicurezza, o addirittura quello che delle politiche pubbliche ha a che fare con la sicurezza. Non si tratta solo di realtà, ma di sensazione e di realtà. Ciò che importa è che questi collimino, più o meno. È importante che, se le nostre sensazioni corrispondono alla realtà, noi facciamo delle scelte migliori sulla sicurezza.
Thank you.
Grazie.
(Applause)
(Applausi)