So, security is two different things: it's a feeling, and it's a reality. And they're different. You could feel secure even if you're not. And you can be secure even if you don't feel it. Really, we have two separate concepts mapped onto the same word. And what I want to do in this talk is to split them apart -- figuring out when they diverge and how they converge. And language is actually a problem here. There aren't a lot of good words for the concepts we're going to talk about. So if you look at security from economic terms, it's a trade-off.
Bezpieczeństwo oznacza dwie różne rzeczy: jest to uczucie i rzeczywistość. I są one różne. Możecie czuć się bezpiecznie nawet, gdy nie jesteście. I możecie być bezpieczni nawet, jeśli tego nie czujecie. W rzeczywistości mamy więc dwie oddzielne koncepcje podpięte pod to samo słowo. I to, co chce osiągnąć w tym wystąpieniu to rozdzielić je - rozgryzając przy tym kiedy się rozbiegają i jak się łączą. Język jest tu w zasadzie przeszkodą. Nie ma zbyt dużo dobrych słów opisujących koncepcje, o których będziemy rozmawiać. Jeśli więc spojrzycie na bezpieczeństwo z punktu widzenia ekonomii, to jest to kompromis.
Every time you get some security, you're always trading off something. Whether this is a personal decision -- whether you're going to install a burglar alarm in your home -- or a national decision, where you're going to invade a foreign country -- you're going to trade off something: money or time, convenience, capabilities, maybe fundamental liberties. And the question to ask when you look at a security anything is not whether this makes us safer, but whether it's worth the trade-off. You've heard in the past several years, the world is safer because Saddam Hussein is not in power. That might be true, but it's not terribly relevant. The question is: Was it worth it? And you can make your own decision, and then you'll decide whether the invasion was worth it. That's how you think about security: in terms of the trade-off.
Za każdym razem, gdy dostajecie trochę bezpieczeństwa, musicie również z czegoś zrezygnować. Czy jest to osobista decyzja - czy zainstalować alarm antywłamaniowy w waszym domu - albo decyzja narodowa - czy najedziemy na obcy kraj - będziecie musieli coś poświęcić. Albo pieniądze, bądź czas, wygody, możliwości, może podstawowe prawa. I pytanie, które powinno się pojawić przy zabezpieczaniu czegokolwiek to nie, czy to uczyni nas bezpieczniejszymi, ale czy warte jest swojej ceny. Słyszeliście w ciągu paru ostatnich lat, że świat jest bezpieczniejszy, gdyż Saddam Hussein nie jest u władzy. To może być prawda, ale nie jest zbyt ważne. Pytanie brzmi, czy było warto? I możecie podjąć decyzję sami, i wtedy wy zdecydujecie czy inwazja była tego warta. Tak właśnie powinno się myśleć o bezpieczeństwie, jako o kompromisach.
Now, there's often no right or wrong here. Some of us have a burglar alarm system at home and some of us don't. And it'll depend on where we live, whether we live alone or have a family, how much cool stuff we have, how much we're willing to accept the risk of theft. In politics also, there are different opinions. A lot of times, these trade-offs are about more than just security, and I think that's really important. Now, people have a natural intuition about these trade-offs. We make them every day. Last night in my hotel room, when I decided to double-lock the door, or you in your car when you drove here; when we go eat lunch and decide the food's not poison and we'll eat it.
Często nie ma tu jednoznacznej odpowiedzi. Niektórzy z nas mają alarm w domu, niektórzy nie. I będzie to zależało od tego gdzie żyjemy, czy mieszkamy sami czy z rodziną, ile fajnych rzeczy posiadamy, jak bardzo jesteśmy w stanie zaakceptować ryzyko kradzieży. Także w polityce są różne opinie. W wielu wypadkach w tych ustępstwach chodzi o coś więcej niż o bezpieczeństwo i myślę, że jest to bardzo ważne. Ludzie mają naturalną intuicję jeśli chodzi o te ustępstwa. Dokonujemy ich każdego dnia. Ostatniej nocy w moim pokoju hotelowym, gdy zdecydowałem się zamknąć oba zamki, albo wy jadąc tu samochodem, kiedy idziemy na lunch i decydujemy, że jedzenie nie jest zatrute, więc je jemy.
We make these trade-offs again and again, multiple times a day. We often won't even notice them. They're just part of being alive; we all do it. Every species does it. Imagine a rabbit in a field, eating grass. And the rabbit sees a fox. That rabbit will make a security trade-off: "Should I stay, or should I flee?" And if you think about it, the rabbits that are good at making that trade-off will tend to live and reproduce, and the rabbits that are bad at it will get eaten or starve. So you'd think that us, as a successful species on the planet -- you, me, everybody -- would be really good at making these trade-offs. Yet it seems, again and again, that we're hopelessly bad at it.
Dokonujemy tych ustępstw na okrągło, wiele razy dziennie. Często nawet tego nie zauważamy. Jest to po prostu część bycia żywym, wszyscy to robimy. Każdy gatunek to robi. Wyobraźcie sobie zająca na polu, jedzącego trawę. I ten zając zauważa lisa. Ten zając dokona ustępstwa na rzecz bezpieczeństwa: "Czy powinienem zostać, czy może uciec?" I jeśli o tym pomyślicie, zające, które są dobre w podejmowaniu takich decyzji, będą żyć i rozmnażać się, podczas gdy zające, które tego nie potrafią, zostaną zjedzone lub umrą z głodu. Można więc pomyśleć, że my, jako nadrzędny gatunek na tej planecie - wy, ja, wszyscy - będziemy naprawdę dobrzy w decydowaniu o tych kompromisach. Jednak wydaje się, że wciąż jesteśmy w tym beznadziejnie źli.
And I think that's a fundamentally interesting question. I'll give you the short answer. The answer is, we respond to the feeling of security and not the reality. Now, most of the time, that works. Most of the time, feeling and reality are the same. Certainly that's true for most of human prehistory. We've developed this ability because it makes evolutionary sense. One way to think of it is that we're highly optimized for risk decisions that are endemic to living in small family groups in the East African Highlands in 100,000 BC. 2010 New York, not so much. Now, there are several biases in risk perception. A lot of good experiments in this. And you can see certain biases that come up again and again. I'll give you four.
Myślę, że jest to fundamentalnie interesujące pytanie. Dam wam krótką odpowiedź. Odpowiedź brzmi, reagujemy na uczucie bezpieczeństwa, a nie rzeczywistość. W większości wypadków to działa. W większości, uczucie i rzeczywistość to to samo. Z pewnością jest to prawdą dla większej części ludzkiej prehistorii. Wykształciliśmy tą umiejętność, ponieważ ma ona ewolucyjny sens. Jeden punkt widzenia, to że jesteśmy wysoce zoptymalizowani do podejmowania decyzji dotyczących ryzyka, które są powszechne przy życiu w małych rodzinnych grupach na wyżynach wschodniej Afryki 100 000 lat P.N.E. - w Nowym Jorku, w 2010 roku, nie za bardzo. Istnieje szereg uprzedzeń w postrzeganiu ryzyka. Wiele dobrych eksperymentów w tej dziedzinie. I możecie zaobserwować pewne uprzedzenia, które występują na okrągło. Podam cztery przykłady.
We tend to exaggerate spectacular and rare risks and downplay common risks -- so, flying versus driving. The unknown is perceived to be riskier than the familiar. One example would be: people fear kidnapping by strangers, when the data supports that kidnapping by relatives is much more common. This is for children. Third, personified risks are perceived to be greater than anonymous risks. So, Bin Laden is scarier because he has a name. And the fourth is: people underestimate risks in situations they do control and overestimate them in situations they don't control. So once you take up skydiving or smoking, you downplay the risks. If a risk is thrust upon you -- terrorism is a good example -- you'll overplay it, because you don't feel like it's in your control.
Mamy tendencję do wyolbrzymiania spektakularnego i rzadkiego ryzyka, a umniejszania zwyczajnych zagrożeń, jak latanie kontra prowadzenie samochodu. Niewiadome jest postrzegane jako bardziej ryzykowne niż wiadome. Przykładem tego będzie strach ludzi przed byciem porwanymi przez nieznajomych, podczas gdy dane wskazują, że częstsze są porwania przez krewnych. To w stosunku do dzieci. Po trzecie, ryzyko spersonifikowane jest postrzegane jako większe niż anonimowe. Tak więc Bin Laden jest bardziej przerażający, bo ma imię. I po czwarte, ludzie nie doceniają ryzyka w sytuacjach, które kontrolują, oraz wyolbrzymiają ryzyko w sytuacjach poza ich kontrolą. Jeśli więc myślimy o skokach ze spadochronem czy paleniu, umniejszamy ryzyko. Kiedy ryzyko prze na ciebie - terroryzm jest dobrym przykładem - wyolbrzymiasz je, bo nie czujesz, że masz nad nim kontrolę.
There are a bunch of other of these cognitive biases, that affect our risk decisions. There's the availability heuristic, which basically means we estimate the probability of something by how easy it is to bring instances of it to mind. So you can imagine how that works. If you hear a lot about tiger attacks, there must be a lot of tigers around. You don't hear about lion attacks, there aren't a lot of lions around. This works, until you invent newspapers, because what newspapers do is repeat again and again rare risks. I tell people: if it's in the news, don't worry about it, because by definition, news is something that almost never happens.
Jest dużo podobnych uprzedzeń, tych poznawczych uprzedzeń, które wpływają na nasze decyzje odnośnie ryzyka. Istnieje heurystyka dostępności, co zasadniczo oznacza, że oceniamy prawdopodobieństwo czegoś poprzez łatwość z jaką przychodzi nam pomyśleć o jego przykładach. Możecie więc sobie wyobrazić jak to działa. Jeśli słyszycie dużo o atakach tygrysów, to musi być dużo tygrysów w okolicy. Nie słyszycie o atakach lwów, więc w okolicy nie ma lwów. To działa dopóki nie odkryjesz gazet. Ponieważ to, co robią gazety, to powtarzanie w kółko rzadkich przypadków. Mówię ludziom, jeśli to jest w wiadomościach, to się nie przejmujcie. Ponieważ z definicji, news to jest coś, co praktycznie nigdy się nie zdarza.
(Laughter)
(Śmiech)
When something is so common, it's no longer news. Car crashes, domestic violence -- those are the risks you worry about. We're also a species of storytellers. We respond to stories more than data. And there's some basic innumeracy going on. I mean, the joke "One, two, three, many" is kind of right. We're really good at small numbers. One mango, two mangoes, three mangoes, 10,000 mangoes, 100,000 mangoes -- it's still more mangoes you can eat before they rot. So one half, one quarter, one fifth -- we're good at that. One in a million, one in a billion -- they're both almost never.
Jeśli coś jest zwyczajne, to nie jest już newsem - wypadki samochodowe, przemoc domowa - to są ryzyka, które was martwią. Jesteśmy również gatunkiem opowiadaczy. Bardziej trafiają do nas opowieści niż dane. I mamy tu do czynienia z podstawową dyskalkulią. Znaczy, dowcip "Jeden, dwa, trzy, wiele" jest tu na miejscu. Jesteśmy naprawdę dobrzy przy małych liczbach. Jedno mango, dwa mango, trzy mango, 10 000 mango, 100 000 mango to wciąż więcej mango niż możesz zjeść nim zgniją. Tak samo połowa, ćwierć, jedna piąta - jesteśmy w tym dobrzy. Jeden na milion, jeden na miliard, oznaczają prawie nigdy.
So we have trouble with the risks that aren't very common. And what these cognitive biases do is they act as filters between us and reality. And the result is that feeling and reality get out of whack, they get different. Now, you either have a feeling -- you feel more secure than you are, there's a false sense of security. Or the other way, and that's a false sense of insecurity.
Tak więc mamy problem z ryzykiem, które nie występuje zbyt często. I co robią te poznawcze uprzedzenia, to bycie filtrami pomiędzy nami, a rzeczywistością. W rezultacie uczucia i rzeczywistość nie równoważą się, stają się różne. Albo macie uczucie - czujecie się bezpieczniejsi niż jesteście. Jest to fałszywe poczucie bezpieczeństwa. Albo na odwrót, macie fałszywe poczucie zagrożenia.
I write a lot about "security theater," which are products that make people feel secure, but don't actually do anything. There's no real word for stuff that makes us secure, but doesn't make us feel secure. Maybe it's what the CIA is supposed to do for us. So back to economics. If economics, if the market, drives security, and if people make trade-offs based on the feeling of security, then the smart thing for companies to do for the economic incentives is to make people feel secure. And there are two ways to do this.
Piszę dużo o "teatrze bezpieczeństwa", co oznacza produkty dzięki którym ludzie czują się bezpieczni, ale tak naprawdę nie robią nic. Nie ma prawdziwego słowa na rzeczy, które zapewniają nam bezpieczeństwo, ale nie sprawiają, że czujemy się bezpieczni. Może to jest to, co CIA powinno dla nas robić. Wróćmy więc do ekonomii. Jeśli ekonomia, rynek, kieruje bezpieczeństwem i jeśli ludzie dokonują ustępstw bazując na poczuciu bezpieczeństwa, to mądrą rzeczą jaką powinny zrobić firmy z powodów ekonomicznych jest sprawienie, by ludzie czuli się bezpieczni. I są na to dwa sposoby.
One, you can make people actually secure and hope they notice. Or two, you can make people just feel secure and hope they don't notice. Right? So what makes people notice? Well, a couple of things: understanding of the security, of the risks, the threats, the countermeasures, how they work. But if you know stuff, you're more likely to have your feelings match reality. Enough real-world examples helps. We all know the crime rate in our neighborhood, because we live there, and we get a feeling about it that basically matches reality. Security theater is exposed when it's obvious that it's not working properly.
Pierwszy, możesz sprawić, że ludzie będą rzeczywiście bezpieczni i mieć nadzieję, że to zauważą. I drugi, możesz sprawić, że ludzie będą czuć się bezpieczni i mieć nadzieję, że nie zauważą. Co więc sprawia, że ludzie zauważają? Cóż, kilka rzeczy: rozumienie bezpieczeństwa, ryzyka, zagrożeń, metod zapobiegania, jak działają. Ale jeśli znacie te rzeczy, większe prawdopodobieństwo, że wasze uczucia będą odpowiadać rzeczywistości. Odpowiednia ilość życiowych przykładów pomaga. Wszyscy znamy stopień przestępczości w naszym sąsiedztwie, ponieważ tam żyjemy, i mamy co do tego odczucia, które zasadniczo odpowiadają rzeczywistości. Teatr bezpieczeństwa jest ujawniony, gdy oczywiste staje się, że nie działa poprawnie.
OK. So what makes people not notice? Well, a poor understanding. If you don't understand the risks, you don't understand the costs, you're likely to get the trade-off wrong, and your feeling doesn't match reality. Not enough examples. There's an inherent problem with low-probability events. If, for example, terrorism almost never happens, it's really hard to judge the efficacy of counter-terrorist measures. This is why you keep sacrificing virgins, and why your unicorn defenses are working just great. There aren't enough examples of failures. Also, feelings that cloud the issues -- the cognitive biases I talked about earlier: fears, folk beliefs -- basically, an inadequate model of reality.
Dobrze, więc co sprawia, że ludzie nie zauważają? Cóż, słabe rozumienie. Jeśli nie rozumiecie ryzyka, nie rozumiecie kosztów, najprawdopodobniej dokonacie błędnych ustępstw, a wasze uczucia nie odpowiadają rzeczywistości. Nie wystarczająco przykładów. Istnieje wrodzony problem z mało prawdopodobnymi zdarzeniami. Jeśli, na przykład, terroryzm prawie nigdy się nie zdarza, jest naprawdę trudno ocenić skuteczność działań antyterrorystycznych. Właśnie dlatego wciąż poświęcacie dziewice i wasza jednorożcowa obrona działa po prostu świetnie. Nie ma wystarczająco dużo przykładów porażek. Również uczucia, które zaciemniają problemy - poznawcze uprzedzenia, o których mówiłem wcześniej, obawy, ludowe wierzenia, zasadniczo nieadekwatny model rzeczywistości.
So let me complicate things. I have feeling and reality. I want to add a third element. I want to add "model." Feeling and model are in our head, reality is the outside world; it doesn't change, it's real. Feeling is based on our intuition, model is based on reason. That's basically the difference. In a primitive and simple world, there's really no reason for a model, because feeling is close to reality. You don't need a model. But in a modern and complex world, you need models to understand a lot of the risks we face.
Pozwólcie, że skomplikuje sprawę. Mam uczucie i rzeczywistość. Chcę dodać trzeci element. Chcę dodać model. Uczucie i model w naszych głowach, rzeczywistość jest światem zewnętrznym. Jest niezmienna, prawdziwa. Tak więc uczucie bazuje na naszej intuicji. Model bazuje na rozumie. To jest podstawowa różnica. W prymitywnym i prostym świecie, nie ma naprawdę potrzeby dla modelu. Ponieważ uczucie jest bliskie rzeczywistości. Nie potrzebujesz modelu. Ale w nowoczesnym i skomplikowanym świecie, potrzebujecie modeli, aby zrozumieć wiele zagrożeń jakich doświadczamy.
There's no feeling about germs. You need a model to understand them. This model is an intelligent representation of reality. It's, of course, limited by science, by technology. We couldn't have a germ theory of disease before we invented the microscope to see them. It's limited by our cognitive biases. But it has the ability to override our feelings. Where do we get these models? We get them from others. We get them from religion, from culture, teachers, elders.
Nie ma uczucia co do zarazków. Potrzebujecie modelu, aby je zrozumieć. A więc ten model jest inteligentną reprezentacja rzeczywistości. Jest on, oczywiście, ograniczony przez naukę, technologię. Nie mogliśmy mieć teorii o wpływie zarazków na choroby przed wynalezieniem mikroskopu, który pozwolił je zobaczyć. Jest to ograniczone przez nasze poznawcze uprzedzenia. Ale ma zdolność, by lekceważyć nasze odczucia. Skąd bierzemy te modele? Od innych. Bierzemy je z religii, kultury, od nauczycieli, starszych.
A couple years ago, I was in South Africa on safari. The tracker I was with grew up in Kruger National Park. He had some very complex models of how to survive. And it depended on if you were attacked by a lion, leopard, rhino, or elephant -- and when you had to run away, when you couldn't run away, when you had to climb a tree, when you could never climb a tree. I would have died in a day. But he was born there, and he understood how to survive. I was born in New York City. I could have taken him to New York, and he would have died in a day.
Parę lat temu, byłem w południowej Afryce na safari. Tropiciel, z którym tam byłem, dorastał w Narodowym Parku Kruger. Miał bardzo złożone modele na to jak przetrwać. Zależały one od tego czy zostaliście zaatakowani przez lwa, leoparda, nosorożca czy też słonia - oraz kiedy powinniście uciekać, czy też wspiąć się na drzewo, a kiedy nie powinniście wspinać się na drzewo. Zginąłbym pierwszego dnia, ale on się tam urodził i wiedział jak przeżyć. Ja się urodziłem w Nowym Jorku. Mógłbym go zabrać do Nowego Jorku, wtedy on zginąłby pierwszego dnia.
(Laughter)
(Śmiech)
Because we had different models based on our different experiences. Models can come from the media, from our elected officials ... Think of models of terrorism, child kidnapping, airline safety, car safety. Models can come from industry. The two I'm following are surveillance cameras, ID cards, quite a lot of our computer security models come from there.
Ponieważ mamy różne modele bazujące na różnych doświadczeniach. Modele mogą pochodzić z mediów, od naszych polityków. Pomyślcie o modelach terroryzmu, porywania dzieci, bezpieczeństwa lotniczego, samochodowego. Modele mogą pochodzić z przemysłu. Dwa, które śledzę, to kamery przemysłowe, oraz karty identyfikacyjne, całkiem sporo komputerowego bezpieczeństwa stąd pochodzi.
A lot of models come from science. Health models are a great example. Think of cancer, bird flu, swine flu, SARS. All of our feelings of security about those diseases come from models given to us, really, by science filtered through the media. So models can change. Models are not static. As we become more comfortable in our environments, our model can move closer to our feelings.
Wiele modeli pochodzi z nauki. Modele zdrowia są dobrym przykładem. Pomyślcie o raku, ptasiej grypie, świńskiej grypie, SARS. Całe nasze poczucie bezpieczeństwa co do tych chorób pochodzi z modeli dostarczonych nam, tak naprawdę, przez naukę przefiltrowaną przez media. Tak więc modele mogą się zmieniać. Modele nie są statyczne. W miarę jak jest nam wygodniej w naszych środowiskach, nasze modele zbliżają się do uczuć.
So an example might be, if you go back 100 years ago, when electricity was first becoming common, there were a lot of fears about it. There were people who were afraid to push doorbells, because there was electricity in there, and that was dangerous. For us, we're very facile around electricity. We change light bulbs without even thinking about it. Our model of security around electricity is something we were born into. It hasn't changed as we were growing up. And we're good at it. Or think of the risks on the Internet across generations -- how your parents approach Internet security, versus how you do, versus how our kids will.
Mogę podać taki przykład, jeśli cofniecie się 100 lat, kiedy elektryczność dopiero stawała się powszechna było wobec niej sporo obaw. Byli ludzie, którzy bali się nacisnąć dzwonek u drzwi, ponieważ była w nich elektryczność i to było niebezpieczne. My sami jesteśmy bardzo niefrasobliwi wobec elektryczności. Zmieniamy żarówki nawet o tym nie myśląc. Nasz model bezpieczeństwa dotyczący elektryczności to coś, w co się wrodziliśmy. Nie zmienił się podczas naszego dorastania. I jesteśmy w tym dobrzy. Albo pomyślcie o zagrożeniach w Internecie względem różnych pokoleń, jak wasi rodzice podchodzą do bezpieczeństwa internetowego, w porównaniu do was, w porównaniu do naszych dzieci w przyszłości.
Models eventually fade into the background. "Intuitive" is just another word for familiar. So as your model is close to reality and it converges with feelings, you often don't even know it's there. A nice example of this came from last year and swine flu. When swine flu first appeared, the initial news caused a lot of overreaction. Now, it had a name, which made it scarier than the regular flu, even though it was more deadly. And people thought doctors should be able to deal with it. So there was that feeling of lack of control. And those two things made the risk more than it was.
Modele ostatecznie wtapiają się w tło. Intuicyjny jest po prostu kolejnym określeniem na znajomy. Jako że twój model jest bliski rzeczywistości, i zbiega się z uczuciami, często nie wiesz, że istnieje. Ciekawy na to przykład pojawił się w zeszłym roku ze świńską grypą. Kiedy świńska grypa się pojawiła, początkowo wiadomości spowodowały wiele przesady. Teraz to miało nazwę, co uczyniło to straszniejszym niż zwykła grypa, mimo iż zwykła była bardziej śmiertelna. Ludzie myśleli, że lekarze powinni sobie z nią poradzić. Istniało więc poczucie braku kontroli. I te dwie rzeczy
As the novelty wore off and the months went by, there was some amount of tolerance; people got used to it. There was no new data, but there was less fear. By autumn, people thought the doctors should have solved this already. And there's kind of a bifurcation: people had to choose between fear and acceptance -- actually, fear and indifference -- and they kind of chose suspicion. And when the vaccine appeared last winter, there were a lot of people -- a surprising number -- who refused to get it. And it's a nice example of how people's feelings of security change, how their model changes, sort of wildly, with no new information, with no new input. This kind of thing happens a lot.
uczyniły to ryzyko większym niż było. Podczas gdy nowość się znosiła, miesiące mijały, pojawiła się doza tolerancji, ludzie się przyzwyczaili. Nie było nowych danych, ale było mniej obaw. Do jesieni ludzie myśleli, że lekarze powinni już rozwiązać ten problem. I jest tu pewne rozwidlenie. Ludzie musieli wybierać pomiędzy strachem a akceptacją. W zasadzie, strachem a obojętnością. Wybrali podejrzenie. I kiedy minionej zimy pojawiła się szczepionka, było sporo ludzi - zaskakująca liczba - którzy odmówili jej przyjęcia. Jest to dobry przykład jak ludzkie poczucie bezpieczeństwa się zmienia, jak ich model się zmienia, trochę dziko, bez nowych informacji, bez nowych danych. Takie rzeczy zdarzają się często.
I'm going to give one more complication. We have feeling, model, reality. I have a very relativistic view of security. I think it depends on the observer. And most security decisions have a variety of people involved. And stakeholders with specific trade-offs will try to influence the decision. And I call that their agenda. And you see agenda -- this is marketing, this is politics -- trying to convince you to have one model versus another, trying to convince you to ignore a model and trust your feelings, marginalizing people with models you don't like. This is not uncommon. An example, a great example, is the risk of smoking. In the history of the past 50 years, the smoking risk shows how a model changes, and it also shows how an industry fights against a model it doesn't like.
Dodam jeszcze jedną komplikację. Mamy uczucie, model, rzeczywistość. Mam bardzo relatywistyczny pogląd na bezpieczeństwo. Uważam, że zależy ono od obserwatora. A większość decyzji związanych z bezpieczeństwem jest podejmowana przez szereg różnych ludzi. I zainteresowani specyficznymi ustępstwami spróbują wpłynąć na decyzję. I ja nazywam to ich planem. I wy widzicie plan. To jest marketing, to jest polityka, próbujące przekonać was do przyjęcia jednego modelu zamiast drugiego, próbujący przekonać was do zignorowania modelu i zaufania waszym uczuciom, marginalizując ludzi z modelami, których nie lubicie. To nie jest rzadkie. Przykład, wspaniały przykład, to ryzyko palenia. Ostatnie 50 lat z historii ryzyka związanego z paleniem pokazuje jak model się zmienia, a także jak przemysł walczy przeciwko modelowi, którego nie lubi.
Compare that to the secondhand smoke debate -- probably about 20 years behind. Think about seat belts. When I was a kid, no one wore a seat belt. Nowadays, no kid will let you drive if you're not wearing a seat belt. Compare that to the airbag debate, probably about 30 years behind. All examples of models changing. What we learn is that changing models is hard. Models are hard to dislodge. If they equal your feelings, you don't even know you have a model. And there's another cognitive bias I'll call confirmation bias, where we tend to accept data that confirms our beliefs and reject data that contradicts our beliefs. So evidence against our model, we're likely to ignore, even if it's compelling. It has to get very compelling before we'll pay attention.
Porównajcie to do debaty o biernym paleniu, prawdopodobnie sprzed około 20 lat. Pomyślcie o pasach bezpieczeństwa. Kiedy byłem dzieckiem, nikt nie zakładał pasów bezpieczeństwa. Dziś, żaden dzieciak nie pozwoli wam jechać jeśli nie założycie pasów. Porównajcie to do debaty o poduszkach powietrznych, prawdopodobnie sprzed około 30 lat. Wszystko to przykłady zmian modeli. Czego się nauczyliśmy, to że zmiana modeli jest trudna. Modele są trudne do usunięcia. Jeśli odpowiadają waszym uczuciom, nawet nie wiecie, że macie model. I mamy kolejne uprzedzenie poznawcze. Przywołam nastawienie potwierdzające, gdzie mamy tendencję do akceptowania danych, które potwierdzają nasze wierzenia i odrzucania danych, które im przeczą. Tak więc dowód przeciwko naszemu modelowi, najprawdopodobniej zignorujemy, nawet jeśli jest niezaprzeczalny. Musi się stać bardzo niezaprzeczalny, żebyśmy zwrócili uwagę.
New models that extend long periods of time are hard. Global warming is a great example. We're terrible at models that span 80 years. We can do "to the next harvest." We can often do "until our kids grow up." But "80 years," we're just not good at. So it's a very hard model to accept. We can have both models in our head simultaneously -- that kind of problem where we're holding both beliefs together, the cognitive dissonance. Eventually, the new model will replace the old model.
Nowe modele, które rozciągają się na dłuższy okres czasu są trudne. Globalne ocieplenie jest doskonałym przykładem. Jesteśmy słabi przy modelach, które rozciągają się na 80 lat. Możemy dać radę z okresem do następnych żniw. Często damy radę z okresem dopóki nasze dzieci nie wydorośleją. Ale 80 lat, my po prostu nie jesteśmy w tym dobrzy. Jest to więc bardzo trudny do zaakceptowania model. Możemy mieć oba modele naraz w naszych głowach albo ten typ problemu, gdzie utrzymujemy oba wierzenia razem albo poznawczy dysonans. Ostatecznie
Strong feelings can create a model.
nowy model zastąpi stary model.
September 11 created a security model in a lot of people's heads. Also, personal experiences with crime can do it, personal health scare, a health scare in the news. You'll see these called "flashbulb events" by psychiatrists. They can create a model instantaneously, because they're very emotive. So in the technological world, we don't have experience to judge models. And we rely on others. We rely on proxies. And this works, as long as it's the correct others.
Mocne uczucia mogą stworzyć model. 11 września stworzył model bezpieczeństwa w głowach wielu ludzi. Osobiste doświadczenia ze zbrodnią również mogą tego dokonać, strach o własne zdrowie, straszenie chorobami w wiadomościach. Przez psychiatrów jest to nazywane efektem żarówki flasha. Mogą stworzyć model natychmiast, ponieważ są bardzo emocjonalni. Tak samo w świecie technologii nie mamy doświadczenia by oceniać modele. Polegamy więc na innych. Polegamy na pełnomocnikach. To działa dopóki polegamy na właściwych ludziach.
We rely on government agencies to tell us what pharmaceuticals are safe. I flew here yesterday. I didn't check the airplane. I relied on some other group to determine whether my plane was safe to fly. We're here, none of us fear the roof is going to collapse on us, not because we checked, but because we're pretty sure the building codes here are good. It's a model we just accept pretty much by faith. And that's OK.
Polegamy na agencjach rządowych, aby powiedziały nam, które leki są bezpieczne. Przyleciałem tu wczoraj. Nie sprawdziłem samolotu. Polegałem na innych, by określili czy samolot jest bezpieczny do lotu. Jesteśmy tu, nikt z nas nie boi się, że dach się zawali, nie dlatego, że sprawdziliśmy, ale dlatego, że jesteśmy całkiem pewni, że prawa budowlane były tu przestrzegane. To jest model, który po prostu akceptujemy, w zasadzie na wiarę. I to jest w porządku.
Now, what we want is people to get familiar enough with better models, have it reflected in their feelings, to allow them to make security trade-offs. When these go out of whack, you have two options. One, you can fix people's feelings, directly appeal to feelings. It's manipulation, but it can work. The second, more honest way is to actually fix the model. Change happens slowly. The smoking debate took 40 years -- and that was an easy one. Some of this stuff is hard. Really, though, information seems like our best hope.
To czego chcemy, to by ludzie zaznajomili się wystarczająco z lepszymi modelami. Mieli ich odbicie w swoich uczuciach, aby umożliwiło im to dokonanie ustępstw odnośnie bezpieczeństwa. Kiedy to się wymknie spod kontroli macie dwie możliwości. Pierwsza, możecie poprawić ludzkie uczucia bezpośrednio odnosząc się do nich. To manipulacja, ale może zadziałać. Druga, bardziej uczciwa droga to rzeczywista naprawa modelu. Zmiany dzieją się powoli. Debata o paleniu trwała 40 lat, a była tą łatwą. Niektóre z tych rzeczy są trudne. Naprawdę, informacja wydaje się naszą najlepszą nadzieją.
And I lied. Remember I said feeling, model, reality; reality doesn't change? It actually does. We live in a technological world; reality changes all the time. So we might have, for the first time in our species: feeling chases model, model chases reality, reality's moving -- they might never catch up. We don't know. But in the long term, both feeling and reality are important.
I skłamałem. Pamiętacie jak wymieniłem uczucia, model, rzeczywistość. Powiedziałem, że rzeczywistość się nie zmienia. Ale tak naprawdę się zmienia. Żyjemy w technologicznym świecie, rzeczywistość zmienia się cały czas. Możemy więc mieć, po raz pierwszy dla naszego gatunku, uczucia goniące model, model goniący rzeczywistość, poruszającą się rzeczywistość, a one mogą się nigdy nie dogonić. Nie wiemy. Ale w długim okresie, zarówno uczucia, jak i rzeczywistość są ważne.
And I want to close with two quick stories to illustrate this. 1982 -- I don't know if people will remember this -- there was a short epidemic of Tylenol poisonings in the United States. It's a horrific story. Someone took a bottle of Tylenol, put poison in it, closed it up, put it back on the shelf, someone else bought it and died. This terrified people. There were a couple of copycat attacks. There wasn't any real risk, but people were scared. And this is how the tamper-proof drug industry was invented. Those tamper-proof caps? That came from this. It's complete security theater. As a homework assignment, think of 10 ways to get around it. I'll give you one: a syringe. But it made people feel better. It made their feeling of security more match the reality.
Chcę zakończyć dwoma szybkimi historiami, aby to zilustrować. W 1982, nie wiem czy ludzie będą to pamiętać, była krótka epidemia zatruć Tylenolem w Stanach Zjednoczonych. Jest to przerażająca historia. Ktoś wziął butelkę Tylenolu, włożył do niej truciznę, zamknął, i odłożył na półkę. Ktoś inny kupił ją i umarł. To przeraziło ludzi. Było kilka podobnych ataków. Nie było prawdziwego zagrożenia, ale ludzie się bali. I właśnie tak wymyślono branżę leków zabezpieczonych przed otwarciem. Stąd pochodzą zabezpieczone wieczka. To jest całkowicie teatr bezpieczeństwa. Jako zadanie domowe pomyślcie o 10 sposobach na ominięcie tego zabezpieczenia. Podpowiem jedno, strzykawka. Ale przez to ludzie poczuli się lepiej. Sprawiło to, że ich poczucie bezpieczeństwa bardziej odpowiadało rzeczywistości.
Last story: a few years ago, a friend of mine gave birth. I visit her in the hospital. It turns out, when a baby's born now, they put an RFID bracelet on the baby, a corresponding one on the mother, so if anyone other than the mother takes the baby out of the maternity ward, an alarm goes off. I said, "Well, that's kind of neat. I wonder how rampant baby snatching is out of hospitals." I go home, I look it up. It basically never happens.
Ostatnia opowieść, parę lat temu, moja przyjaciółka urodziła. Odwiedziłem ją w szpitalu. Okazuje się, że kiedy rodzi się dziecko, nakładają mu bransoletkę RFID, podobną dają matce. Tak że ktokolwiek oprócz matki weźmie dziecko z oddziału położnego, uruchomi alarm. Powiedziałem "Cóż, to całkiem sprytne. Zastanawiam się jak częste jest porywanie dzieci ze szpitali." Wróciłem do domu, sprawdziłem. To praktycznie nigdy się nie zdarza.
(Laughter)
Ale jeśli o tym pomyślicie,
But if you think about it, if you are a hospital, and you need to take a baby away from its mother, out of the room to run some tests, you better have some good security theater, or she's going to rip your arm off.
jeśli jesteście szpitalem i potrzebujecie zabrać dziecko od matki, aby przeprowadzić na nim badania lepiej miejcie jakiś dobry teatr bezpieczeństwa albo ona urwie wam rękę.
(Laughter)
(Śmiech)
So it's important for us, those of us who design security, who look at security policy -- or even look at public policy in ways that affect security. It's not just reality; it's feeling and reality. What's important is that they be about the same. It's important that, if our feelings match reality, we make better security trade-offs.
Jest to więc dla nas ważne, tych z nas, którzy projektują zabezpieczenia, którzy doglądają polityki bezpieczeństwa albo nawet praw publicznych w sposób, który wpływa na bezpieczeństwo. To nie jest tylko rzeczywistość, to uczucie i rzeczywistość. Co jest ważne, to żeby były mniej więcej równe. Ważne jest, że jeśli nasze uczucia odpowiadają rzeczywistości, to dokonujemy lepszych wyborów.
Thank you.
Dziękuję.
(Applause)
(Brawa)