So, security is two different things: it's a feeling, and it's a reality. And they're different. You could feel secure even if you're not. And you can be secure even if you don't feel it. Really, we have two separate concepts mapped onto the same word. And what I want to do in this talk is to split them apart -- figuring out when they diverge and how they converge. And language is actually a problem here. There aren't a lot of good words for the concepts we're going to talk about. So if you look at security from economic terms, it's a trade-off.
Veiligheid bestaat uit twee dingen: Je gevoel en de realiteit. En deze zijn verschillend. Je kan je veilig voelen als je dit niet bent. En je kan veilig zijn maar je niet zo voelen. Echt, we hebben twee verschillende concepten en slechts één woord. En wat ik in dit gesprek wil doen is deze twee concepten splitsen -- Ontdekken wanneer ze niet samengaan en hoe ze samenkomen. En taal is eigenlijk een probleem hier. Er zijn niet veel goede woorden voor de concepten waar we over gaan praten. Dus als je naar veiligheid kijkt vanuit een economisch perspectief, dan krijg je een afweging.
Every time you get some security, you're always trading off something. Whether this is a personal decision -- whether you're going to install a burglar alarm in your home -- or a national decision, where you're going to invade a foreign country -- you're going to trade off something: money or time, convenience, capabilities, maybe fundamental liberties. And the question to ask when you look at a security anything is not whether this makes us safer, but whether it's worth the trade-off. You've heard in the past several years, the world is safer because Saddam Hussein is not in power. That might be true, but it's not terribly relevant. The question is: Was it worth it? And you can make your own decision, and then you'll decide whether the invasion was worth it. That's how you think about security: in terms of the trade-off.
Elke keer dat je veiligheid krijgt, ben je iets aan het opofferen. Of dit een persoonlijke beslissing is -- wanneer je bijvoorbeeld een alarminstallatie laat aanbrengen thuis -- of een nationale beslissing -- of je een ander land gaat binnenvallen -- je gaat er iets voor opofferen, zoals geld of tijd, comfort, capaciteiten, misschien belangrijke vrijheden. En de vraag die je moet stellen als je naar zo'n veiligheidssituatie kijkt is niet of je hier veiliger van wordt, maar of het het offer wel waard is. Je hebt in de afgelopen paar jaar wel eens gehoord dat de wereld veiliger is omdat Saddam Hoessein niet meer aan de macht is. Dat is misschien waar, maar het is niet heel erg relevant. De vraag is: Was het het waard? En daar kan je je eigen besluit in nemen, dan beslis jij of de invasie de moeite waard was. Dat is hoe je over veiligheid moet denken -- wat betreft de afweging.
Now, there's often no right or wrong here. Some of us have a burglar alarm system at home and some of us don't. And it'll depend on where we live, whether we live alone or have a family, how much cool stuff we have, how much we're willing to accept the risk of theft. In politics also, there are different opinions. A lot of times, these trade-offs are about more than just security, and I think that's really important. Now, people have a natural intuition about these trade-offs. We make them every day. Last night in my hotel room, when I decided to double-lock the door, or you in your car when you drove here; when we go eat lunch and decide the food's not poison and we'll eat it.
Nu is er vaak geen goed of fout hier. Sommigen onder ons hebben een inbraakalarm thuis, en sommigen niet. En dat hangt af van waar we wonen, of we er alleen wonen of met een gezin, hoeveel coole spullen we hebben, in hoeverre we het risico van diefstal willen accepteren. In de politiek is dat ook zo, er zijn verschillende meningen. En heel vaak gaan deze afwegingen om meer dan alleen veiligheid, en ik denk dat dat belangrijk is. Mensen hebben een natuurlijke intuïtie bij deze afwegingen. We doen het iedere dag -- vannacht in mijn hotelkamer, toen ik besloot de deur dubbel op slot te doen, of toen je met de auto hierheen reed, als we gaan lunchen en we beslissen dat het voedsel niet giftig is en het opeten.
We make these trade-offs again and again, multiple times a day. We often won't even notice them. They're just part of being alive; we all do it. Every species does it. Imagine a rabbit in a field, eating grass. And the rabbit sees a fox. That rabbit will make a security trade-off: "Should I stay, or should I flee?" And if you think about it, the rabbits that are good at making that trade-off will tend to live and reproduce, and the rabbits that are bad at it will get eaten or starve. So you'd think that us, as a successful species on the planet -- you, me, everybody -- would be really good at making these trade-offs. Yet it seems, again and again, that we're hopelessly bad at it.
We maken heel vaak afwegingen meerdere keren per dag. We merken het vaak zelfs niet op. Het is een onderdeel van ons leven; we doen het allemaal. Elke diersoort doet het. Stel je een konijn voor dat gras aan het eten is in een veld, en dit konijn ziet een vos. Dit konijn zal een veiligheidsoverweging maken: "Moet ik blijven of moet ik vluchten?" En als je erover nadenkt, dan zijn de konijnen die hier goed in zijn de konijnen die blijven leven en zich voortplanten. En de konijnen die er niet goed in zijn zullen opgegeten worden of omkomen van de honger. Dus je zou denken dat wij, als een succesvol diersoort op de planeet -- jij, ik, iedereen -- heel goed zijn in het maken van deze overwegingen. Maar het lijkt er telkens weer op dat we er hopeloos slecht in zijn.
And I think that's a fundamentally interesting question. I'll give you the short answer. The answer is, we respond to the feeling of security and not the reality. Now, most of the time, that works. Most of the time, feeling and reality are the same. Certainly that's true for most of human prehistory. We've developed this ability because it makes evolutionary sense. One way to think of it is that we're highly optimized for risk decisions that are endemic to living in small family groups in the East African Highlands in 100,000 BC. 2010 New York, not so much. Now, there are several biases in risk perception. A lot of good experiments in this. And you can see certain biases that come up again and again. I'll give you four.
En ik denk dat dat een hele interessante kwestie is. Ik leg het even kort uit. Het is zo, dat we reageren op het gevoel van veiligheid en niet op de realiteit. Meestal werkt dat. Meestal zijn ons gevoel en de realiteit hetzelfde. Dat is zeker waar voor het grootste deel van de menselijke geschiedenis. We hebben de eigenschap ontwikkeld omdat het, evolutionair gezien, logisch is. Een manier om erover na te denken is dat we geoptimaliseerd zijn voor risicovolle beslissingen die heel belangrijk zijn om in kleine groepen te leven in de Oost-Afrikaanse hooglanden in het jaar 100.000 voor Christus -- niet voor New York anno 2010. Nu zijn er wat vooroordelen bij het waarnemen van risico's. Er zijn veel goede experimenten geweest hierover. En er zijn een aantal vooroordelen die telkens weer naar voren komen. Dus ik zal er vier met jullie delen.
We tend to exaggerate spectacular and rare risks and downplay common risks -- so, flying versus driving. The unknown is perceived to be riskier than the familiar. One example would be: people fear kidnapping by strangers, when the data supports that kidnapping by relatives is much more common. This is for children. Third, personified risks are perceived to be greater than anonymous risks. So, Bin Laden is scarier because he has a name. And the fourth is: people underestimate risks in situations they do control and overestimate them in situations they don't control. So once you take up skydiving or smoking, you downplay the risks. If a risk is thrust upon you -- terrorism is a good example -- you'll overplay it, because you don't feel like it's in your control.
We neigen spectaculaire en zeldzame risico's te overdrijven en de dagelijkse risico's te bagatelliseren -- bijvoorbeeld vliegen versus autorijden. het onbekende wordt ingeschat als risicovoller dan het dagelijkse. Een voorbeeld: Mensen zijn bang om ontvoerd te worden door vreemden terwijl volgens de statistieken ontvoering door familieleden veel vaker voorkomt. Dit geldt voor kinderen. De derde: Gepersonificeerde risico's worden groter ingeschat dan anonieme risico's -- dus Bin Laden is enger omdat hij een naam heeft. En de vierde is dat mensen risico's onderschatten in situaties die ze onder controle hebben en ze overschatten ze in situaties die ze niet onder controle hebben. Dus als je begint met skydiven of roken, dan verwaarloos je de risico's. Als een risico in je schoot wordt geworpen -- terrorisme was een goed voorbeeld -- dan zul je het groter maken dan het is, omdat je geen controle voelt.
There are a bunch of other of these cognitive biases, that affect our risk decisions. There's the availability heuristic, which basically means we estimate the probability of something by how easy it is to bring instances of it to mind. So you can imagine how that works. If you hear a lot about tiger attacks, there must be a lot of tigers around. You don't hear about lion attacks, there aren't a lot of lions around. This works, until you invent newspapers, because what newspapers do is repeat again and again rare risks. I tell people: if it's in the news, don't worry about it, because by definition, news is something that almost never happens.
Er zijn tal van deze vooroordelen, deze cognitieve vooroordelen, die onze risico-beslissingen beïnvloeden. Er is het beschikbaarheidsconcept wat neerkomt op: We schatten de kans van iets in door na te gaan hoe vaak je van deze specifieke situatie hebt gehoord. Dus je kunt je voorstellen hoe dat werkt. Als je vaak over tijgeraanvallen hoort, dan zullen er wel veel tijgers in de buurt zijn. Je hoort niemand over leeuwenaanvallen, dus dan zijn er weinig in de buurt. Dit werkte totdat de krant werd uitgevonden. Want kranten doen het volgende: Ze herhalen zeldzame risico's opnieuw en opnieuw. Ik vertel de mensen: Als het in het nieuws is, maak je er dan geen zorgen over. Want nieuws is per definitie iets dat bijna nooit gebeurt.
(Laughter)
(Er klinkt gelach)
When something is so common, it's no longer news. Car crashes, domestic violence -- those are the risks you worry about. We're also a species of storytellers. We respond to stories more than data. And there's some basic innumeracy going on. I mean, the joke "One, two, three, many" is kind of right. We're really good at small numbers. One mango, two mangoes, three mangoes, 10,000 mangoes, 100,000 mangoes -- it's still more mangoes you can eat before they rot. So one half, one quarter, one fifth -- we're good at that. One in a million, one in a billion -- they're both almost never.
Als iets dagelijks voorkomt, is het geen nieuws meer -- autobotsingen, huiselijk geweld -- dat zijn de risico's waar je je zorgen om maakt. Wij mensen houden ook van verhalen vertellen. We reageren eerder op verhalen dan op statistieken. En er is een soort van cijfer-onkunde aan de gang. Het grapje "Een, Twee, Drie, Veel' klopt eigenlijk wel. We zijn heel goed in kleine getallen. Een mango, twee mango's, drie mango's, tienduizend mango's, honderdduizend mango's -- Het zijn er nog steeds meer dan je kunt eten voordat ze gaan rotten. Dus een halve, een kwart, een vijfde -- daar zijn we goed in. Een op een miljoen, een op een miljard -- Dat is allebei bijna nooit.
So we have trouble with the risks that aren't very common. And what these cognitive biases do is they act as filters between us and reality. And the result is that feeling and reality get out of whack, they get different. Now, you either have a feeling -- you feel more secure than you are, there's a false sense of security. Or the other way, and that's a false sense of insecurity.
Dus we hebben moeite met risico's die niet vaak voorkomen. En wat deze cognitieve vooroordelen doen is optreden als filters tussen onszelf en de realiteit. En het resultaat is dat het gevoel en de realiteit op hol slaan, ze worden anders. Dus ofwel heb je een gevoel -- je voelt je veiliger dan je echt bent. Er is een onterecht gevoel van veiligheid. Ofwel is het andersom, en dan is er een onterecht gevoel van onveiligheid.
I write a lot about "security theater," which are products that make people feel secure, but don't actually do anything. There's no real word for stuff that makes us secure, but doesn't make us feel secure. Maybe it's what the CIA is supposed to do for us. So back to economics. If economics, if the market, drives security, and if people make trade-offs based on the feeling of security, then the smart thing for companies to do for the economic incentives is to make people feel secure. And there are two ways to do this.
Ik schrijf veel over "veiligheidstheater", dat bestaat uit producten die mensen zich veiliger laten voelen terwijl die producten niet echt iets doen. Er is niet echt een woord voor dingen die ons veilig maken maar die ons gevoel van veiligheid niet versterken. Misschien is dat wel de taak van de CIA. Dus, terug naar de economie. Als de economie, de markt, veiligheid bevordert, en als mensen dingen opofferen en overwegingen maken, die gebaseerd zijn op het gevoel van veiligheid, dan is het heel slim van de bedrijven om de economie te stimuleren als zij de mensen veilig laten voelen. En er zijn twee manieren om dit te doen.
One, you can make people actually secure and hope they notice. Or two, you can make people just feel secure and hope they don't notice. Right? So what makes people notice? Well, a couple of things: understanding of the security, of the risks, the threats, the countermeasures, how they work. But if you know stuff, you're more likely to have your feelings match reality. Enough real-world examples helps. We all know the crime rate in our neighborhood, because we live there, and we get a feeling about it that basically matches reality. Security theater is exposed when it's obvious that it's not working properly.
De eerste: je kunt mensen daadwerkelijk veiliger maken en hopen dat het ze opvalt. Of de tweede: je kan mensen zich alleen maar veilig laten voelen en hopen dat het ze niet opvalt. Dus wat zorgt ervoor dat het opvalt? Een aantal dingen: Begrip van veiligheid, inzicht in de risico's en gevaren, begrip van de maatregelen en hoe deze werken. Maar als je deze dingen weet, dan is de kans groot dat jouw gevoel klopt met de realiteit. Genoeg voorbeelden uit de echte wereld helpen ook. We weten allemaal hoeveel criminaliteit er in onze buurten is, omdat we er wonen, en we krijgen er een gevoel bij dat ongeveer klopt met de werkelijkheid. Veiligheidstheater wordt blootgegeven als het duidelijk is dat het niet goed werkt.
OK. So what makes people not notice? Well, a poor understanding. If you don't understand the risks, you don't understand the costs, you're likely to get the trade-off wrong, and your feeling doesn't match reality. Not enough examples. There's an inherent problem with low-probability events. If, for example, terrorism almost never happens, it's really hard to judge the efficacy of counter-terrorist measures. This is why you keep sacrificing virgins, and why your unicorn defenses are working just great. There aren't enough examples of failures. Also, feelings that cloud the issues -- the cognitive biases I talked about earlier: fears, folk beliefs -- basically, an inadequate model of reality.
Dus hoe komt het dat mensen dit niet zien? Nou, een gebrek aan begrip. Als je de risico's niet begrijpt, als je de kosten niet begrijpt, dan overweeg je het waarschijnlijk niet goed. En dan klopt je gevoel niet met de werkelijkheid. Niet genoeg voorbeelden. Er is een onderliggend probleem met onwaarschijnlijke gebeurtenissen. Als, bijvoorbeeld, terrorisme bijna nooit voorkomt, is het moeilijk om te bepalen hoe effectief anti-terrorismemaatregelen zijn. Dit is waarom je maagden blijft offeren, en waarom je eenhoorn-verdediging prima werkt. Er zijn niet genoeg voorbeelden dat dit niet werkt. Daarnaast, gevoelens die de zaken verhullen -- de cognitieve vooroordelen waar ik het over had, angsten, volksverhalen -- zorgen voor een niet-kloppend beeld van de realiteit.
So let me complicate things. I have feeling and reality. I want to add a third element. I want to add "model." Feeling and model are in our head, reality is the outside world; it doesn't change, it's real. Feeling is based on our intuition, model is based on reason. That's basically the difference. In a primitive and simple world, there's really no reason for a model, because feeling is close to reality. You don't need a model. But in a modern and complex world, you need models to understand a lot of the risks we face.
Nu ga ik de dingen wat moeilijker maken. Ik heb gevoel en werkelijkheid. Ik ga een derde element toevoegen: een model. De gevoelens en het model in ons hoofd, de realiteit in de buitenwereld. Die verandert niet; die is echt. Ons gevoel is gebaseerd op onze intuïtie. Een model is gebaseerd op ratio. Dat is ongeveer het verschil. In een primitieve en simpele wereld is er niet echt een reden voor een model. Omdat het gevoel zo dicht bij de realiteit staat. Dan heb je geen model nodig. Maar in een moderne complexe wereld heb je modellen nodig om een heleboel risico's die we tegenkomen te snappen.
There's no feeling about germs. You need a model to understand them. This model is an intelligent representation of reality. It's, of course, limited by science, by technology. We couldn't have a germ theory of disease before we invented the microscope to see them. It's limited by our cognitive biases. But it has the ability to override our feelings. Where do we get these models? We get them from others. We get them from religion, from culture, teachers, elders.
Er is geen gevoel over bacteriën. Je hebt een model nodig om dit te begrijpen. Dus dit model is een intelligente weergave van de realiteit. Deze is wel beperkt door de huidige wetenschap en technologie. We hadden geen bacterie-theorie over ziektes kunnen ontwikkelen voordat we de microscoop uitvonden om ze te kunnen zien. Het is beperkt door onze cognitieve vooroordelen. Maar het heeft de mogelijkheid om onze gevoelens te onderdrukken. Waar krijgen we deze modellen? Van anderen. We krijgen ze van religie, cultuur, leraren, ouderen.
A couple years ago, I was in South Africa on safari. The tracker I was with grew up in Kruger National Park. He had some very complex models of how to survive. And it depended on if you were attacked by a lion, leopard, rhino, or elephant -- and when you had to run away, when you couldn't run away, when you had to climb a tree, when you could never climb a tree. I would have died in a day. But he was born there, and he understood how to survive. I was born in New York City. I could have taken him to New York, and he would have died in a day.
Een paar jaar geleden was ik in Zuid-Afrika op safari. De gids die ik had was opgegroeid in 'Kruger National Park'. Hij had wat complexe modellen om mee te overleven. En het hing er vanaf of je werd aangevallen door een leeuw of een luipaard of een neushoorn of een olifant -- en wanneer je moest wegrennen, en wanneer je in een boom moest klimmen -- wanneer je niet in een boom kon klimmen. Ik zou geen dag overleven, maar hij was daar geboren, en hij begreep hoe hij er moest overleven. Ik ben geboren in New York City. Ik had hem kunnen meenemen naar New York en hij zou geen dag overleven.
(Laughter)
(Er klinkt gelach)
Because we had different models based on our different experiences. Models can come from the media, from our elected officials ... Think of models of terrorism, child kidnapping, airline safety, car safety. Models can come from industry. The two I'm following are surveillance cameras, ID cards, quite a lot of our computer security models come from there.
Omdat we verschillende modellen hadden gebaseerd op onze verschillende ervaringen. Modellen kunnen vanuit de media komen, van onze verkozen ambtenaren. Denk aan modellen over terrorisme, ontvoering van kinderen, luchtvaartveiligheid, autoveiligheid. Modellen kunnen uit de industrie komen. De twee die ik volg zijn beveiligingscamera's, Identiteitskaarten, een heleboel computerveiligheidsmodellen komen daar vandaan.
A lot of models come from science. Health models are a great example. Think of cancer, bird flu, swine flu, SARS. All of our feelings of security about those diseases come from models given to us, really, by science filtered through the media. So models can change. Models are not static. As we become more comfortable in our environments, our model can move closer to our feelings.
Een heleboel modellen komen uit de wetenschap. Een goed voorbeeld zijn de gezondheidsmodellen. Denk aan kanker, vogelgriep, varkensgriep, SARS. Al onze gevoelens van veiligheid over deze ziektes komen van modellen die ons zijn gegeven door de wetenschap, gefilterd door de media. Dus modellen kunnen veranderen. Modellen staan niet stil. Als we ons zekerder voelen in onze omgevingen, kan ons model dichter bij ons gevoel komen te staan.
So an example might be, if you go back 100 years ago, when electricity was first becoming common, there were a lot of fears about it. There were people who were afraid to push doorbells, because there was electricity in there, and that was dangerous. For us, we're very facile around electricity. We change light bulbs without even thinking about it. Our model of security around electricity is something we were born into. It hasn't changed as we were growing up. And we're good at it. Or think of the risks on the Internet across generations -- how your parents approach Internet security, versus how you do, versus how our kids will.
Een voorbeeld zou kunnen zijn dat honderd jaar geleden toen elektriciteit alledaags werd, er heel veel angst voor was. Ik bedoel, er waren mensen bang om de deurbel te gebruiken, omdat er elektriciteit in zat en dat was gevaarlijk. Wij zijn op ons gemak rond elektriciteit. We vervangen gloeilampen zonder erbij na te denken. Onze veiligheidsmodellen met betrekking tot elektriciteit is iets waar we mee geboren zijn. Het is niet veranderd terwijl wij opgroeiden. En we zijn er goed in. Of denk aan de risico's op het internet door de generaties heen -- hoe ouders omgaan met veilig internetten, vergeleken met hoe jij dat doet, vergeleken met hoe onze kinderen dat zullen doen.
Models eventually fade into the background. "Intuitive" is just another word for familiar. So as your model is close to reality and it converges with feelings, you often don't even know it's there. A nice example of this came from last year and swine flu. When swine flu first appeared, the initial news caused a lot of overreaction. Now, it had a name, which made it scarier than the regular flu, even though it was more deadly. And people thought doctors should be able to deal with it. So there was that feeling of lack of control. And those two things made the risk more than it was.
Modellen komen uiteindelijk op de achtergrond te staan. Intuïtief is gewoon een ander woord voor vertrouwd. Dus als je model dichtbij de realiteit staat en het samenkomt met je gevoel, dan weet je vaak niet dat het er is. Een goed voorbeeld hiervan kwam afgelopen jaar met de varkensgriep. Toen de varkensgriep eerst de kop opstak veroorzaakte het eerste bericht veel overdreven reacties. Het had nu een naam, die het enger maakte dan de gewone griep, terwijl deze wel dodelijker was. En de mensen dachten dat de dokters wel wisten wat ze ermee aanmoesten. Dus het gevoel van gebrek aan controle was er ook. En deze twee dingen
As the novelty wore off and the months went by, there was some amount of tolerance; people got used to it. There was no new data, but there was less fear. By autumn, people thought the doctors should have solved this already. And there's kind of a bifurcation: people had to choose between fear and acceptance -- actually, fear and indifference -- and they kind of chose suspicion. And when the vaccine appeared last winter, there were a lot of people -- a surprising number -- who refused to get it. And it's a nice example of how people's feelings of security change, how their model changes, sort of wildly, with no new information, with no new input. This kind of thing happens a lot.
vergrootten de risico's meer dan nodig was. Terwijl het nieuwe er af raakte en de maanden voorbij gingen was er een bepaalde mate van tolerantie, de mensen raakten eraan gewend. Er waren geen nieuwe gegevens, maar er was minder angst. Tegen de herfst dachten de mensen dat de dokters het al opgelost zouden moeten hebben. En er was een soort van tweestrijd -- mensen moesten kiezen tussen angst en acceptatie -- eigenlijk tussen angst en onverschilligheid -- en ze kozen zo ongeveer voor achterdocht. En toen afgelopen winter het vaccin verscheen was er een grote groep mensen - een verrassend groot aantal - die het vaccin weigerden. Dit is een mooi voorbeeld van hoe bij mensen het gevoel van veiligheid kan veranderen, en hun model, bijna willekeurig zonder nieuwe informatie, zonder nieuwe gegevens. Dit soort dingen gebeuren heel vaak.
I'm going to give one more complication. We have feeling, model, reality. I have a very relativistic view of security. I think it depends on the observer. And most security decisions have a variety of people involved. And stakeholders with specific trade-offs will try to influence the decision. And I call that their agenda. And you see agenda -- this is marketing, this is politics -- trying to convince you to have one model versus another, trying to convince you to ignore a model and trust your feelings, marginalizing people with models you don't like. This is not uncommon. An example, a great example, is the risk of smoking. In the history of the past 50 years, the smoking risk shows how a model changes, and it also shows how an industry fights against a model it doesn't like.
Ik ga het nog een keer moeilijker maken. We hebben gevoelens, model, realiteit. Ik heb een zeer gerelativeerde visie over veiligheid. Ik denk dat het van de toeschouwer afhangt. En bij de meeste veiligheidsbeslissingen zijn een variëteit aan mensen betrokken. En aandeelhouders met specifieke overwegingen zullen proberen het besluit te beïnvloeden. En ik noem dat hun agenda En deze agenda -- deze marketing, deze politiek -- probeert jou te overtuigen om het ene model te verkiezen boven het andere, probeert jou te overtuigen om een model te negeren en op je gevoel af te gaan, uitsluiten van mensen met modellen die je niet leuk vindt. Dit komt veel voor. Een voorbeeld, een heel goed voorbeeld, is het risico van roken. In de geschiedenis van de laatste 50 jaar laat het risico van roken een modelverandering zien, en het laat ook zien hoe een industrie vecht tegen een model dat het niet leuk vindt.
Compare that to the secondhand smoke debate -- probably about 20 years behind. Think about seat belts. When I was a kid, no one wore a seat belt. Nowadays, no kid will let you drive if you're not wearing a seat belt. Compare that to the airbag debate, probably about 30 years behind. All examples of models changing. What we learn is that changing models is hard. Models are hard to dislodge. If they equal your feelings, you don't even know you have a model. And there's another cognitive bias I'll call confirmation bias, where we tend to accept data that confirms our beliefs and reject data that contradicts our beliefs. So evidence against our model, we're likely to ignore, even if it's compelling. It has to get very compelling before we'll pay attention.
Vergelijk dat met het debat over meeroken -- ongeveer twintig jaar geleden. Denk aan autogordels. Toen ik een kind was, droeg niemand een autogordel. Vandaag de dag zal geen kind je laten rijden als je geen autogordel draagt. Vergelijk dat met het debat over airbags -- ongeveer dertig jaar geleden. Allemaal voorbeelden van veranderende modellen. Wat we leren is dat het moeilijk is om een model te veranderen. Modellen zijn lastig los te wrikken. Als ze overeenkomen met je gevoel, dan weet je niet eens dat je een model hebt. En daar is nog een cognitief vooroordeel dat ik het bevestigingsvooroordeel zal noemen, waar we neigen om de gegevens te accepteren die onze overtuigingen bevestigen© en de gegevens die onze overtuigingen tegenspreken af te keuren. Dus bewijs tegen ons model zullen we waarschijnlijk negeren, ook als het overtuigend of aanlokkelijk is. Het moet heel aanlokkelijk worden voordat we er aandacht aan besteden.
New models that extend long periods of time are hard. Global warming is a great example. We're terrible at models that span 80 years. We can do "to the next harvest." We can often do "until our kids grow up." But "80 years," we're just not good at. So it's a very hard model to accept. We can have both models in our head simultaneously -- that kind of problem where we're holding both beliefs together, the cognitive dissonance. Eventually, the new model will replace the old model.
Nieuwe modellen die over langere tijdsperiodes gaan zijn moeilijk. Het opwarmen van de aarde is een prima voorbeeld. We zijn heel erg slecht in modellen die 80 jaar beslaan. We kunnen tot de volgende oogst gaan. Tot onze kinderen opgroeien, dat lukt ook nog wel. Maar 80 jaar, daar zijn we gewoon niet goed in. Dus het is een moeilijk model om te accepteren. We kunnen beide modellen tegelijk in ons hoofd houden, of het soort probleem waarbij we twee verschillende overtuigingen samenhouden of de cognitieve verstoring. Uiteindelijk
Strong feelings can create a model.
zal het nieuwe model het oude model vervangen.
September 11 created a security model in a lot of people's heads. Also, personal experiences with crime can do it, personal health scare, a health scare in the news. You'll see these called "flashbulb events" by psychiatrists. They can create a model instantaneously, because they're very emotive. So in the technological world, we don't have experience to judge models. And we rely on others. We rely on proxies. And this works, as long as it's the correct others.
Sterke gevoelens kunnen een model scheppen. Elf september heeft een veiligheidsmodel geschept in de hoofden van heel veel mensen. Persoonlijke ervaringen met criminaliteit kunnen dit ook, of enge voorvallen met je eigen gezondheid of enge voorvallen met gezondheid in het nieuws. Deze voorvallen worden 'gloeilampvoorvallen' genoemd door psychiaters. Ze kunnen ter plekke een model scheppen omdat ze heel erg emotioneel geladen zijn. Dus in de technologische wereld hebben we geen ervaring om modellen te beoordelen. En we vertrouwen op anderen. We vertrouwen op volmachten. Dit werkt zo lang het is om anderen te verbeteren.
We rely on government agencies to tell us what pharmaceuticals are safe. I flew here yesterday. I didn't check the airplane. I relied on some other group to determine whether my plane was safe to fly. We're here, none of us fear the roof is going to collapse on us, not because we checked, but because we're pretty sure the building codes here are good. It's a model we just accept pretty much by faith. And that's OK.
We vertrouwen op overheidsinstellingen zodat ze ons vertellen welke medicijnen veilig zijn. Ik ben hier gisteren heengevlogen. Ik heb het vliegtuig niet gecontroleerd. Ik vertrouwde op een andere groep zodat zij zouden beslissen of het veilig was om met mijn vliegtuig te vliegen. Wij zijn hier en niemand is bang dat het dak op ons neer gaat vallen. Niet omdat wij het dak hebben nagekeken, maar omdat we er vrij zeker van zijn dat de voorschriften over gebouwen hier goed zijn. Dat is een model dat we gewoon accepteren op goed vertrouwen. En dat is goed.
Now, what we want is people to get familiar enough with better models, have it reflected in their feelings, to allow them to make security trade-offs. When these go out of whack, you have two options. One, you can fix people's feelings, directly appeal to feelings. It's manipulation, but it can work. The second, more honest way is to actually fix the model. Change happens slowly. The smoking debate took 40 years -- and that was an easy one. Some of this stuff is hard. Really, though, information seems like our best hope.
Wat we willen is dat mensen bekend genoeg raken met betere modellen -- dat deze doorschijnen in hun gevoel -- en er zo voor te zorgen dat ze goede veiligheidsafwegingen maken. Als deze niet kloppen dan heb je twee opties. Een: Je kan het gevoel van mensen verbeteren door direct op het gevoel in te spelen. Het is manipulatie, maar het kan werken. De tweede, eerlijkere manier is om het model te verbeteren. Verandering vindt langzaam plaats. Het rookdebat duurde veertig jaar, en dat was een makkelijke. Sommige van deze zaken zijn moeilijk. en dan bedoel ik heel moeilijk, informatie lijkt onze beste hoop.
And I lied. Remember I said feeling, model, reality; reality doesn't change? It actually does. We live in a technological world; reality changes all the time. So we might have, for the first time in our species: feeling chases model, model chases reality, reality's moving -- they might never catch up. We don't know. But in the long term, both feeling and reality are important.
En ik heb gelogen. Weet je nog toen ik 'gevoel, model, realiteit' zei? Ik zei dat de realiteit niet veranderde, maar dat doet het wel. We leven in een technologische wereld; de werkelijkheid verandert voortdurend. Dus voor het eerst sinds de mensheid hebben we deze situatie: Het gevoel achtervolgt het model, het model achtervolgt de realiteit, maar de realiteit verandert -- Misschien zullen ze elkaar nooit meer vinden. Dat weten we niet. Maar op de lange termijn zijn het gevoel en de realiteit allebei belangrijk.
And I want to close with two quick stories to illustrate this. 1982 -- I don't know if people will remember this -- there was a short epidemic of Tylenol poisonings in the United States. It's a horrific story. Someone took a bottle of Tylenol, put poison in it, closed it up, put it back on the shelf, someone else bought it and died. This terrified people. There were a couple of copycat attacks. There wasn't any real risk, but people were scared. And this is how the tamper-proof drug industry was invented. Those tamper-proof caps? That came from this. It's complete security theater. As a homework assignment, think of 10 ways to get around it. I'll give you one: a syringe. But it made people feel better. It made their feeling of security more match the reality.
En ik wil met twee korte verhaaltjes afsluiten om dit te laten zien. Ik weet niet of mensen dit nog weten, maar in 1982 was er een korte epidemie van Tylenol-vergiftigingen in de Verenigde Staten. Het is een vreselijk verhaal. Iemand nam een flesje Tylenol, deed er vergif in, sloot het weer, en zette het terug op de plank. Iemand anders kocht dit en ging dood. Dit maakte de mensen doodsbang. Er waren wat na-aap-aanvallen geweest. Er was niet echt een risico, maar de mensen waren bang. En dit is hoe in de medicijnwereld de anti-knoei-industrie is gestart. Die dopjes met sluitzegels kwamen hier vandaan. Dit is veiligheidstheater. Als huiswerk wil ik dat jullie 10 manieren bedenken om dit te omzeilen. Ik geef er een, een injectienaald. Maar het zorgt dat de mensen zich beter voelen. Het zorgde ervoor dat hun gevoel van veiligheid meer in overeenstemming kwam met de realiteit.
Last story: a few years ago, a friend of mine gave birth. I visit her in the hospital. It turns out, when a baby's born now, they put an RFID bracelet on the baby, a corresponding one on the mother, so if anyone other than the mother takes the baby out of the maternity ward, an alarm goes off. I said, "Well, that's kind of neat. I wonder how rampant baby snatching is out of hospitals." I go home, I look it up. It basically never happens.
Laatste verhaalt, een paar jaar geleden beviel een vriendin van me. Ik ging op visite in het ziekenhuis. Het blijkt dat als er nu een baby is geboren, deze een radiofrequentie-armband omkrijgt, en dat de moeder een overeenkomende armband omkrijgt, zodat zodra iemand anders dan de moeder de baby uit de kwaamafdeling meeneemt, het alarm afgaat. Ik zei: "Nou, dat is best gaaf. Ik vraag me af hoe vaak het voorkomt dat baby's worden gestolen uit de ziekenhuizen vandaan. Ik ga naar huis, ik zoek het op. Het komt vrijwel nooit voor.
(Laughter)
Maar als je er over nadenkt,
But if you think about it, if you are a hospital, and you need to take a baby away from its mother, out of the room to run some tests, you better have some good security theater, or she's going to rip your arm off.
als je in een ziekenhuis bent, en je moet de baby van de moeder afnemen om in een andere kamer wat tests te doen. dan kan je maar beter voor een goed veiligheidstheater zorgen, want anders rukt ze je arm eraf.
(Laughter)
(Er klinkt gelach)
So it's important for us, those of us who design security, who look at security policy -- or even look at public policy in ways that affect security. It's not just reality; it's feeling and reality. What's important is that they be about the same. It's important that, if our feelings match reality, we make better security trade-offs.
Dus het is belangrijk voor ons, voor degenen onder ons die veiligheid ontwerpen, die naar het veiligheidsbeleid kijken, of die kijken naar het openbare beleid, op manieren die met veiligheid te maken hebben: Het is niet alleen realiteit, het is gevoel en realiteit. Wat belangrijk is is dat het over hetzelfde gaat. Het is belangrijk dat, als ons gevoel de werkelijkheid reflecteert, we betere veiligheidsafwegingen maken.
Thank you.
Dank u.
(Applause)
(Applaus)