So, security is two different things: it's a feeling, and it's a reality. And they're different. You could feel secure even if you're not. And you can be secure even if you don't feel it. Really, we have two separate concepts mapped onto the same word. And what I want to do in this talk is to split them apart -- figuring out when they diverge and how they converge. And language is actually a problem here. There aren't a lot of good words for the concepts we're going to talk about. So if you look at security from economic terms, it's a trade-off.
Portanto, a segurança é duas coisas diferentes: é um sentimento, e é uma realidade. E elas são diferentes. Vocês podem sentir-se seguros mesmo que não o estejam. E podem estar seguros mesmo que não o sintam. Na realidade, temos dois conceitos separados presentes na mesma palavra. E o que eu quero fazer nesta palestra é separá-los -- descobrindo quando divergem e como convergem. E, a linguagem é um verdadeiro problema neste caso. Não existem muitas palavras adequadas para os conceitos de que vamos falar. Portanto, se olharem para a segurança em termos económicos, é uma negociação.
Every time you get some security, you're always trading off something. Whether this is a personal decision -- whether you're going to install a burglar alarm in your home -- or a national decision, where you're going to invade a foreign country -- you're going to trade off something: money or time, convenience, capabilities, maybe fundamental liberties. And the question to ask when you look at a security anything is not whether this makes us safer, but whether it's worth the trade-off. You've heard in the past several years, the world is safer because Saddam Hussein is not in power. That might be true, but it's not terribly relevant. The question is: Was it worth it? And you can make your own decision, and then you'll decide whether the invasion was worth it. That's how you think about security: in terms of the trade-off.
Cada vez que têm alguma segurança, estão sempre a trocá-la por algo. Quer isto seja uma decisão pessoal -- quer vão instalar um sistema de alarme anti-roubos em vossa casa -- ou uma decisão nacional -- em que vão invadir algum país estrangeiro -- vão ter de negociar algo, seja dinheiro, ou tempo, conveniência, capacidades. talvez liberdades fundamentais. E a questão a fazer quando pensam na segurança de qualquer coisa não é se isto nos fará mais seguros, mas se vale a pena a escolha. Ouviram nos últimos anos, que o mundo está mais seguro porque o Saddam Hussein não está no poder. Isso pode ser verdade, mas não é terrivelmente relevante. A questão é, valeu a pena? Podem tomar a vossa própria decisão e então vão decidir se a invasão valeu a pena. É assim que pensam acerca de segurança -- em termos de escolhas.
Now, there's often no right or wrong here. Some of us have a burglar alarm system at home and some of us don't. And it'll depend on where we live, whether we live alone or have a family, how much cool stuff we have, how much we're willing to accept the risk of theft. In politics also, there are different opinions. A lot of times, these trade-offs are about more than just security, and I think that's really important. Now, people have a natural intuition about these trade-offs. We make them every day. Last night in my hotel room, when I decided to double-lock the door, or you in your car when you drove here; when we go eat lunch and decide the food's not poison and we'll eat it.
Agora, muitas vezes não existe um certo e um errado. Alguns de nós temos um sistema de alarme anti-roubo em casa, e alguns de nós não tem. E vai depender onde vivemos, se moramos sozinhos ou temos uma família, quantas coisas porreiras temos, e quanto estamos dispostos a aceitar o risco de roubo. Também na política, existem opiniões diferentes. Muitas vezes, estas escolhas são acerca de mais do que apenas a segurança, e eu penso que isso é realmente importante. Agora, as pessoas têm uma intuição natural acerca destas escolhas. Nós fazêmo-las todos os dias -- ontem à noite, no meu quarto de hotel, quando decidi trancar a porta, ou vocês, nos vossos carros, quando conduziram até aqui, quando vamos almoçar e decidimos que a comida não é veneno e que a vamos comer.
We make these trade-offs again and again, multiple times a day. We often won't even notice them. They're just part of being alive; we all do it. Every species does it. Imagine a rabbit in a field, eating grass. And the rabbit sees a fox. That rabbit will make a security trade-off: "Should I stay, or should I flee?" And if you think about it, the rabbits that are good at making that trade-off will tend to live and reproduce, and the rabbits that are bad at it will get eaten or starve. So you'd think that us, as a successful species on the planet -- you, me, everybody -- would be really good at making these trade-offs. Yet it seems, again and again, that we're hopelessly bad at it.
Nós fazemos estas escolhas uma e outra vez múltiplas vezes por dia. Muitas vezes, nem nos vamos aperceber delas. Elas são apenas parte de estar vivo; todos nós as fazemos. Todas as espécies o fazem. Imaginem um coelho num campo, a comer erva, e o coelho vê uma raposa. O coelho vai fazer uma escolha de segurança: "Deverei ficar, ou fugir?" E se pensarem acerca disso, os coelhos que são bons a fazerem essa escolha tendem a viver e reproduzir-se e os coelhos que são maus vão ser comidos ou morrer de fome. Portanto, vocês pensam que nós, enquanto espécie bem sucedida no planeta -- vocês, eu, toda a gente -- seríamos realmente bons a fazer estas escolhas. Contudo, parece, uma e outra vez, que somos, desesperadamente, maus nisto.
And I think that's a fundamentally interesting question. I'll give you the short answer. The answer is, we respond to the feeling of security and not the reality. Now, most of the time, that works. Most of the time, feeling and reality are the same. Certainly that's true for most of human prehistory. We've developed this ability because it makes evolutionary sense. One way to think of it is that we're highly optimized for risk decisions that are endemic to living in small family groups in the East African Highlands in 100,000 BC. 2010 New York, not so much. Now, there are several biases in risk perception. A lot of good experiments in this. And you can see certain biases that come up again and again. I'll give you four.
E eu penso que esta é uma questão interessante e fundamental. Vou-vos dar a resposta curta. A resposta é, nós respondemos ao sentimento de segurança e não à realidade. Agora, na maioria do tempo, isso funciona. Na maioria do tempo, o sentimento e a realidade são o mesmo. Isso é certamente verdade para a maioria da pré-história humana. Nós desenvolvemos esta capacidade porque faz sentido evolutivamente. Uma forma de pensar acerca disto é que somos altamente optimizados para decisões de risco que são endémicas a viver em pequenos grupos familiares nos planaltos do este de África em 100,000 A.C. -- 2010 Nova Iorque, nem tanto. Agora, existem vários enviesamentos na percepção de risco. E muitas experiências boas acerca disto. E podem ver certos enviesamentos que surgem uma e outra vez. Portanto, vou-vos dar quatro.
We tend to exaggerate spectacular and rare risks and downplay common risks -- so, flying versus driving. The unknown is perceived to be riskier than the familiar. One example would be: people fear kidnapping by strangers, when the data supports that kidnapping by relatives is much more common. This is for children. Third, personified risks are perceived to be greater than anonymous risks. So, Bin Laden is scarier because he has a name. And the fourth is: people underestimate risks in situations they do control and overestimate them in situations they don't control. So once you take up skydiving or smoking, you downplay the risks. If a risk is thrust upon you -- terrorism is a good example -- you'll overplay it, because you don't feel like it's in your control.
Tendemos a exagerar os riscos espectaculares e raros e subestimamos riscos comuns -- portanto, voar versus conduzir. O desconhecido é percepcionado como mais arriscado do que o familiar. Um exemplo será pessoas terem medo de raptos por estranhos, quando a informação confirma que raptos por familiares é muito mais comum. Isto para crianças. Terceiro, riscos personificados são percebidos como mais prováveis do que riscos anónimos -- portanto, o Bin Laden era ameaçador porque ele tem um nome. E o quarto é a subestima de riscos pelas pessoas em situações que podem controlar e a sobrestimação em situações que não controlam. Assim, quando começam a fazer paraquedismo ou a fumar, subestimam os riscos. Se um risco é forçado sobre vós -- o terrorismo foi um bom exemplo -- vão sobrestimá-lo, porque não sentem que é do vosso controlo.
There are a bunch of other of these cognitive biases, that affect our risk decisions. There's the availability heuristic, which basically means we estimate the probability of something by how easy it is to bring instances of it to mind. So you can imagine how that works. If you hear a lot about tiger attacks, there must be a lot of tigers around. You don't hear about lion attacks, there aren't a lot of lions around. This works, until you invent newspapers, because what newspapers do is repeat again and again rare risks. I tell people: if it's in the news, don't worry about it, because by definition, news is something that almost never happens.
Existe uma variedade de outros enviesamentos destes, destes erros cognitivos, que afectam as nossas decisões de risco. Existe a heurística da disponibilidade, que basicamente quer dizer que avaliamos a probabilidade de algo conforme a facilidade mental de aceder à informação acerca disso. Por isso, podem imaginar como funciona. Se ouvirem muita informação acerca de ataques de tigres, têm de haver muitos tigres nas redondezas. Não ouvem acerca de ataques de leões, não existem muitos leões pela área. Isto funciona inventarem os jornais. Porque o que os jornais fazem é repetir vez após vez os riscos raros. Eu digo às pessoas, se está nas notícias, não se preocupem acerca disso. Porque, por definição, as notícias são algo que quase nunca acontece.
(Laughter)
(risos)
When something is so common, it's no longer news. Car crashes, domestic violence -- those are the risks you worry about. We're also a species of storytellers. We respond to stories more than data. And there's some basic innumeracy going on. I mean, the joke "One, two, three, many" is kind of right. We're really good at small numbers. One mango, two mangoes, three mangoes, 10,000 mangoes, 100,000 mangoes -- it's still more mangoes you can eat before they rot. So one half, one quarter, one fifth -- we're good at that. One in a million, one in a billion -- they're both almost never.
Quando algo é muito comum, já não é notícia -- acidentes de carros, violência doméstica -- esses são os riscos com que se devem preocupar. Nós também somos uma espécie de contadores de histórias. Nós respondemos mais a histórias do que a informação. E existe alguma incapacidade matemática. Quer dizer, a piada "Um, dois, três, muitos" está, de certa forma, correcta. Nós somos muitos bons com números pequenos. Uma manda, duas mangas, três mangas, 10,000 mangas, 100,000 mangas -- são muito mais mangas do que as que conseguem comer antes de apodrecerem. Por isso, uma metade, um quarto, um quinto -- somos bons nisso. Um num milhão, um num bilião -- não existem quase nunca.
So we have trouble with the risks that aren't very common. And what these cognitive biases do is they act as filters between us and reality. And the result is that feeling and reality get out of whack, they get different. Now, you either have a feeling -- you feel more secure than you are, there's a false sense of security. Or the other way, and that's a false sense of insecurity.
Por isto temos problemas com riscos que não são muitos comuns. E o que fazem esses enviesamentos cognitivos é agir como filtros entre nós e a realidade. E o resultado é que o sentimento e a realidade se tornam discrepantes se tornam diferentes. E ou têm uma sensação -- sentem-se mais seguros que dantes. Existe um falso sentimento de segurança. Ou [têm o sentimento] oposto, e esse é o falso sentimento de insegurança.
I write a lot about "security theater," which are products that make people feel secure, but don't actually do anything. There's no real word for stuff that makes us secure, but doesn't make us feel secure. Maybe it's what the CIA is supposed to do for us. So back to economics. If economics, if the market, drives security, and if people make trade-offs based on the feeling of security, then the smart thing for companies to do for the economic incentives is to make people feel secure. And there are two ways to do this.
Eu escrevo muito acerca do "teatro de segurança", que são produtos que fazem as pessoas sentirem-se seguras mas que, na realidade, não fazem nada. Não existem uma palavra real para as coisas que nos fazem seguros, mas que não nos fazem sentir seguros. Talvez seja isso o que a CIA faz supostamente por nós. Portanto, de volta à economia. Se a economia, se os mercados, impulsionam segurança, e se as pessoas fazem escolhas baseadas nos sentimentos de segurança, então, a coisa mais acertada para as companhias fazerem para os incentivos económicos é fazer as pessoas sentirem-se seguras. E existem duas formas de fazer isto.
One, you can make people actually secure and hope they notice. Or two, you can make people just feel secure and hope they don't notice. Right? So what makes people notice? Well, a couple of things: understanding of the security, of the risks, the threats, the countermeasures, how they work. But if you know stuff, you're more likely to have your feelings match reality. Enough real-world examples helps. We all know the crime rate in our neighborhood, because we live there, and we get a feeling about it that basically matches reality. Security theater is exposed when it's obvious that it's not working properly.
Uma, podem fazer as pessoas sentirem-se realmente seguras e esperar que elas reparem. Ou a segunda, podem fazer simplesmente as pessoas sentirem-se seguras e esperar que não reparem. E o que faz as pessoas repararem? Bem, um conjunto de coisas: compreensão da segurança, dos riscos, das ameaças, das medidas de combate, como funcionam. Mas se souberem coisas, é mais fácil que os vossos sentimentos coincidam com a realidade. Exemplos suficientes do mundo real ajudam. Todos sabemos a taxa de criminalidade do nosso bairro, porque vivemos aí, e temos um sentimento acerca disso que, praticamente, coincide com a realidade. Os teatros de segurança são expostos quando é óbvio que não estão a funcionar apropriadamente.
OK. So what makes people not notice? Well, a poor understanding. If you don't understand the risks, you don't understand the costs, you're likely to get the trade-off wrong, and your feeling doesn't match reality. Not enough examples. There's an inherent problem with low-probability events. If, for example, terrorism almost never happens, it's really hard to judge the efficacy of counter-terrorist measures. This is why you keep sacrificing virgins, and why your unicorn defenses are working just great. There aren't enough examples of failures. Also, feelings that cloud the issues -- the cognitive biases I talked about earlier: fears, folk beliefs -- basically, an inadequate model of reality.
Okay, portando, o que acontece quando as pessoas não reparam? Bem, um entendimento fraco. Se não compreenderem os riscos, não entendem os custos, e são capazes de fazer a escolha errada, e o vosso sentimento não coincide com a realidade. Não há exemplos suficientes. Existe um problema inerente com eventos com baixa probabilidade. Se, por exemplo, o terrorismo quase nunca ocorre, é muito difícil de avaliar a eficácia de medidas contra-terroristas. Este é o porquê de continuarem a sacrificar virgens, e porque as vossas defesas de unicórnios funcionam muito bem. Não existem exemplos suficientes de falhas. Para além disso, sentimentos que abafam os problemas -- os enviasamentos cognitivos de que falámos antes, os medos, as crenças populares, basicamente, um modelo inadequado da realidade.
So let me complicate things. I have feeling and reality. I want to add a third element. I want to add "model." Feeling and model are in our head, reality is the outside world; it doesn't change, it's real. Feeling is based on our intuition, model is based on reason. That's basically the difference. In a primitive and simple world, there's really no reason for a model, because feeling is close to reality. You don't need a model. But in a modern and complex world, you need models to understand a lot of the risks we face.
Deixem-me complicar as coisas. Eu tenho sentimento e realidade. Eu quero adicionar um terceiro elemento. Eu quero adicionar um modelo. O sentimento e o modelo [estão] na nossa cabeça, a realidade é o mundo exterior. Não muda; é real. Portanto, o sentimento é baseado na nossa intuição. O modelo é baseado na razão. Essa é a diferença fundamental. Num mundo primitivo e simples, não existem motivos para [a existência] de um modelo. Porque o sentimento está próximo da realidade. Não precisam de um modelo. Mas num mundo moderno e complexo, precisam de modelos para compreender os riscos com que nos defrontamos.
There's no feeling about germs. You need a model to understand them. This model is an intelligent representation of reality. It's, of course, limited by science, by technology. We couldn't have a germ theory of disease before we invented the microscope to see them. It's limited by our cognitive biases. But it has the ability to override our feelings. Where do we get these models? We get them from others. We get them from religion, from culture, teachers, elders.
Não existem sentimentos em relação a germes. Precisam do modelo para os compreender. Este modelo é uma representação inteligente da realidade. É, obviamente, limitado pela ciência, pela tecnologia. Não podíamos ter uma teoria de doenças de germes antes de inventarmos o microscópio para os ver. É limitado pelos nossos vieses cognitivos. Mas tem a capacidade de se sobrepôr aos nossos sentimentos. Onde aprendemos estes modelos? Aprendêmo-los dos outros. Aprendemo-los da religião, cultura, professores, anciãos.
A couple years ago, I was in South Africa on safari. The tracker I was with grew up in Kruger National Park. He had some very complex models of how to survive. And it depended on if you were attacked by a lion, leopard, rhino, or elephant -- and when you had to run away, when you couldn't run away, when you had to climb a tree, when you could never climb a tree. I would have died in a day. But he was born there, and he understood how to survive. I was born in New York City. I could have taken him to New York, and he would have died in a day.
Há alguns anos, estava num safari na África do Sul. O batedor com quem estava tinha crescido no Parque Nacional de Kruger. Ele tinha alguns modelos muito complexos acerca de como sobreviver. E dependiam se eram atacados por um leão, ou um leopardo, ou um rinoceronte, ou um elefante -- e sobre quando tinham de correr, e quando tinham de subir a uma árvora -- quando nunca podiam subir a uma árvore. Eu teria morrido nesse dia, mas ele tinha nascido ali, e ele compreendia como sobreviver. Eu nasci na cidade de Nova Iorque. Eu poderia tê-lo levado a Nova Iorque, e ele teria morrido nesse dia.
(Laughter)
(risos)
Because we had different models based on our different experiences. Models can come from the media, from our elected officials ... Think of models of terrorism, child kidnapping, airline safety, car safety. Models can come from industry. The two I'm following are surveillance cameras, ID cards, quite a lot of our computer security models come from there.
Porque tínhamos modelos diferentes baseados nas nossas diferenças. Os modelos podem vir dos meios de comunicação, dos nossos oficiais elegidos. Pensem em modelos de terrorismo, rapto infantil, segurança aérea, segurança automóvel. Os modelos podem vir da indústria. Os dois que eu sigo são as câmaras de vigilância, cartões de identificação, bastantes dos nossos modelos de segurança computacional vêm daí.
A lot of models come from science. Health models are a great example. Think of cancer, bird flu, swine flu, SARS. All of our feelings of security about those diseases come from models given to us, really, by science filtered through the media. So models can change. Models are not static. As we become more comfortable in our environments, our model can move closer to our feelings.
Muitos dos modelos vêm da ciência. Os modelos de saúde são exemplos excelentes. Pensem em cancro, em gripe das aves, gripe suína, o vírus SARS. Todos os nossos sentimentos de segurança acerca dessas doenças vêm de modelos que nos são dados, na realidade, pela ciência filtrada pelos meios de comunicação. Por isso, os modelos podem mudar. Os modelos não são estáticos. À medida que nos tornamos mais confortáveis nos nossos ambientes, o nosso modelo pode tornar-se mais próximo dos nossos sentimentos.
So an example might be, if you go back 100 years ago, when electricity was first becoming common, there were a lot of fears about it. There were people who were afraid to push doorbells, because there was electricity in there, and that was dangerous. For us, we're very facile around electricity. We change light bulbs without even thinking about it. Our model of security around electricity is something we were born into. It hasn't changed as we were growing up. And we're good at it. Or think of the risks on the Internet across generations -- how your parents approach Internet security, versus how you do, versus how our kids will.
Por isso, um exemplo pode ser, se voltarem atrás no tempo 100 anos quando a electricidade ainda se estava a tornar comum, existiam muitos medos acerca disso. Quer dizer, havia pessoas que tinham medo de tocar à campainha, porque existia ali electricidade, e era perigoso. Para nós, somos bastante condescendentes em relação à electricidade. Nós mudamos lâmpadas sem sequer pensar nisso O nosso modelo de segurança acerca da electricidade é algo para o qual nascemos. Não mudou enquanto crescíamos. E somos bons nele., Ora, pensem nos riscos na Internet entre gerações -- como os vossos pais lidavam com a segurança da Internet, versus, como vocês o fazem, versus como os vossos filhos vão lidar.
Models eventually fade into the background. "Intuitive" is just another word for familiar. So as your model is close to reality and it converges with feelings, you often don't even know it's there. A nice example of this came from last year and swine flu. When swine flu first appeared, the initial news caused a lot of overreaction. Now, it had a name, which made it scarier than the regular flu, even though it was more deadly. And people thought doctors should be able to deal with it. So there was that feeling of lack of control. And those two things made the risk more than it was.
Os modelos acabam por se dissolver. Intuitivo é apenas outra palavra para familiar. Quando o nosso modelo é próximo da realidade, e converge com os sentimentos, vocês raramente se apercebem que ele lá está. Um bom exemplo disto veio o ano passado com a gripe suína. Quando a gripe suína apareceu, as notícias iniciais causaram muitas reacções excessivas. Tinha um nome, o que a fazia mais assustadora que a gripe comum, apesar desta ser mais mortal. E as pessoas pensavam que os médicos deveriam saber lidar com ela. Por isso existia um sentimento de falta de controlo. E essas duas coisas
As the novelty wore off and the months went by, there was some amount of tolerance; people got used to it. There was no new data, but there was less fear. By autumn, people thought the doctors should have solved this already. And there's kind of a bifurcation: people had to choose between fear and acceptance -- actually, fear and indifference -- and they kind of chose suspicion. And when the vaccine appeared last winter, there were a lot of people -- a surprising number -- who refused to get it. And it's a nice example of how people's feelings of security change, how their model changes, sort of wildly, with no new information, with no new input. This kind of thing happens a lot.
tornaram o risco mais do que ele era. Quando a novidade se desvaneceu, os meses passaram, existia uma quantidade de tolerância, as pessoas habituaram-se. Não existia informação nova, mas existia menos medo. No Outono, as pessoas pensaram que os médicos já deveriam ter resolvido isto. E existe uma espécie de bifurcação -- as pessoas tinham de escolher entre o medo e a aceitação -- ter medo ou indiferença -- elas escolheram suspeita. E quando a vacina surgiu o Inverno passado, existiu uma grande quantidade de pessoas - um número surpreendente - que se recusaram a recebê-la - é um bom exemplo que como os sentimentos de segurança das pessoas mudam, como os seus modelos mudam de forma rompante sem nova informação, sem novo dado. Este tipo de evento acontece frequentemente.
I'm going to give one more complication. We have feeling, model, reality. I have a very relativistic view of security. I think it depends on the observer. And most security decisions have a variety of people involved. And stakeholders with specific trade-offs will try to influence the decision. And I call that their agenda. And you see agenda -- this is marketing, this is politics -- trying to convince you to have one model versus another, trying to convince you to ignore a model and trust your feelings, marginalizing people with models you don't like. This is not uncommon. An example, a great example, is the risk of smoking. In the history of the past 50 years, the smoking risk shows how a model changes, and it also shows how an industry fights against a model it doesn't like.
Vou-vos mostrar mais uma complicação. nós temos sentimento, modelo, realidade. Eu tenho uma visão muito relativista da segurança. Eu penso que depende do observador. E a maioria das decisões de segurança têm uma variedade de pessoas envolvidas. E os responsáveis com vista em trocas específicas vão tentar influenciar a decisão. E eu exponho os seus planos. E vocês vêem os seus planos -- isto é marketing, isto é política -- tentar convencer-vos a aceitar um modelo versus outro, tentar convencer-vos a ignorar um modelo a confiar nos vossos sentimentos, marginalizando pessoas com modelos que vocês não gostam. Isto não é invulgar. Um exemplo, um óptimo exemplo, é o risco de fumar. Na história dos últimos 50 anos, o risco de fumar demonstra como um modelo muda, e também demonstra como uma indústria luta contra um modelo de que não gosta.
Compare that to the secondhand smoke debate -- probably about 20 years behind. Think about seat belts. When I was a kid, no one wore a seat belt. Nowadays, no kid will let you drive if you're not wearing a seat belt. Compare that to the airbag debate, probably about 30 years behind. All examples of models changing. What we learn is that changing models is hard. Models are hard to dislodge. If they equal your feelings, you don't even know you have a model. And there's another cognitive bias I'll call confirmation bias, where we tend to accept data that confirms our beliefs and reject data that contradicts our beliefs. So evidence against our model, we're likely to ignore, even if it's compelling. It has to get very compelling before we'll pay attention.
Comparem isso com o debate de fumo em segunda mão -- está provavelmente atrasado 20 anos. Pensem acerca dos cintos de segurança. Quando eu era criança, ninguém usava cinto de segurança. Hoje em dia, nenhum miúdo vos deixa conduzir se não estiverem a usar cinto de segurança. Comparem isso ao debate acerca do airbag -- provavelmente atrasado 30 anos. Todos são exemplos de modelos em mudança. O que nós aprendemos é que mudar modelos é difícil. É difícil desinstalar modelos se eles coincidem com os nossos sentimentos. Vocês nem sequer sabem que têm um modelo. E existe outro erro cognitivo vou-lhe chamar enviusamento confirmatório, no qual tendemos a aceitar informação que confirma as nossas crenças e rejeita informação que contradiz aquilo em que acreditamos. Portanto, provas contra o nosso modelo, nós iremos, provavelmente, ignorar, mesmo que seja convincente. Tem de se tornar muito convincente para nós lhe prestarmos atenção.
New models that extend long periods of time are hard. Global warming is a great example. We're terrible at models that span 80 years. We can do "to the next harvest." We can often do "until our kids grow up." But "80 years," we're just not good at. So it's a very hard model to accept. We can have both models in our head simultaneously -- that kind of problem where we're holding both beliefs together, the cognitive dissonance. Eventually, the new model will replace the old model.
Os novos modelos que se estendem por largos periodo de tempo são difíceis. O aquecimento global é um óptimo exemplo. Nós somos terríveis com modelos que se estendem por 80 anos. nós podemos tratar da próxima ceifa. Nós podemos frequentemente pensar até quando os nossos filhos crescem. Mas 80 anos, nós simplesmente não somos bons [a pensar nisso]. Portanto, é um modelo muito difícil de aceitar. Nós podemos ter os dois modelos simultaneamente na nossa mente, ou esse tipo de problema em que estamos a manter as duas crenças em conjunto, ou a dissonância cognitiva. Eventualmente,
Strong feelings can create a model.
o novo modelo irá substituir o velho modelo.
September 11 created a security model in a lot of people's heads. Also, personal experiences with crime can do it, personal health scare, a health scare in the news. You'll see these called "flashbulb events" by psychiatrists. They can create a model instantaneously, because they're very emotive. So in the technological world, we don't have experience to judge models. And we rely on others. We rely on proxies. And this works, as long as it's the correct others.
Sentimentos fortes podem criar um modelo. O 11 de Setembro criou um modelo de segurança em muitas mentes. Também experiências pessoais com crime o podem fazer, sustos com saúde pessoal, um susto nas notícias relacionado com a saúde. Verão estes eventos chamados flashes pelos psiquiatras. Eles podem criar um modelo instantaneamente porque são tão emocionais. Por isso, num mundo tecnológico, nós não temos experiência em avaliar modelos. E confiamos nos outros. Nós confiamos nas vias de informação. Quero dizer, isto funciona desde que seja para corrigir outros.
We rely on government agencies to tell us what pharmaceuticals are safe. I flew here yesterday. I didn't check the airplane. I relied on some other group to determine whether my plane was safe to fly. We're here, none of us fear the roof is going to collapse on us, not because we checked, but because we're pretty sure the building codes here are good. It's a model we just accept pretty much by faith. And that's OK.
Nós confiamos em agências governamentais que nos dizem quais farmacêuticas são seguras. Eu voei para cá ontem. Eu não verifiquei [o estado] do avião. Eu confiei noutro grupo para determinar se era seguro voar no meu avião. Nós estamos aqui, nenhum de nós tem medo que o teto vá colapsar sobre nós, não porque verificámos, mas porque temos bastante certeza que as normas de construção aqui são boas. É um modelo que, basicamente, aceitamos por fé. E isso está bem.
Now, what we want is people to get familiar enough with better models, have it reflected in their feelings, to allow them to make security trade-offs. When these go out of whack, you have two options. One, you can fix people's feelings, directly appeal to feelings. It's manipulation, but it can work. The second, more honest way is to actually fix the model. Change happens slowly. The smoking debate took 40 years -- and that was an easy one. Some of this stuff is hard. Really, though, information seems like our best hope.
Agora, o que queremos é que as pessoas se sintam suficientemente familiarizadas com modelos melhores -- que isso se reflicta nos seus sentimentos -- e lhes permita fazer escolhas de segurança. Porque quando estes se distanciam têm duas opções: uma, podem corrigir os sentimentos das pessoas, apelar directamente aos sentimentos. É manipulação, mas pode funcionar. a segundo forma, mais honesta é corrigir o próprio modelo. A mudança acontece lentamente. O debate acerca do tabaco demorou 40 anos, e esse foi um fácil. Algumas coisas são difíceis. Eu quero dizer, realmente a informação parece ser a nossa maior esperança
And I lied. Remember I said feeling, model, reality; reality doesn't change? It actually does. We live in a technological world; reality changes all the time. So we might have, for the first time in our species: feeling chases model, model chases reality, reality's moving -- they might never catch up. We don't know. But in the long term, both feeling and reality are important.
E eu menti. Lembram-se quando eu disse que sentimento, modelo, realidade. Eu disse que a realidade não muda. Na realidade muda. Nós vivemos num mundo tecnológico; a realidade muda a toda a hora. Portanto podemos ter -- pela primeira vez na [história] da nossa espécie -- sentimentos que perseguem modelos, modelos perseguem realidade, e a realidade a mudar -- podem nunca se vir a alcançar. Nós não sabemos. Mas a longo prazo sentimentos e realidade são importantes.
And I want to close with two quick stories to illustrate this. 1982 -- I don't know if people will remember this -- there was a short epidemic of Tylenol poisonings in the United States. It's a horrific story. Someone took a bottle of Tylenol, put poison in it, closed it up, put it back on the shelf, someone else bought it and died. This terrified people. There were a couple of copycat attacks. There wasn't any real risk, but people were scared. And this is how the tamper-proof drug industry was invented. Those tamper-proof caps? That came from this. It's complete security theater. As a homework assignment, think of 10 ways to get around it. I'll give you one: a syringe. But it made people feel better. It made their feeling of security more match the reality.
E eu quero acabar com duas histórias rápidas para ilustrar estes pontos. 1982 -- Eu não sei se vocês se vão lembrar disto -- houve uma curta epidemia de envenenamento por Tylenol nos Estados Unidos. Foi uma história horrível. Alguém pegou numa garrafa de Tylenol, colocou veneno, fechou-a, pô-la novamente na estante. Outra pessoa comprou-a e morreu. Isto aterrorizou as pessoas. Houve alguns ataques de imitadores. Não existia nenhum risco real, mas as pessoas estavam assustadas. E é por isto que a indústria de produtos farmacêuticos invioláveis foi inventada. Essas tampas invioláveis, que advieram disto. É absolutamente teatro de segurança. Como trabalho de casa, pensem em 10 formas de contorná-las. Eu dou-vos uma, uma seringa. Mas fez as pessoas sentirem-se melhor. Fez com que os seus sentimentos de segurança coincidissem mais com a realidade.
Last story: a few years ago, a friend of mine gave birth. I visit her in the hospital. It turns out, when a baby's born now, they put an RFID bracelet on the baby, a corresponding one on the mother, so if anyone other than the mother takes the baby out of the maternity ward, an alarm goes off. I said, "Well, that's kind of neat. I wonder how rampant baby snatching is out of hospitals." I go home, I look it up. It basically never happens.
Última história, há alguns anos, uma amiga minha deu à luz. Eu visitei-a no hospital. Acontece que, hoje em dia, quando o bebé nasce, eles colocam uma pulseira RFID no bebé, e colocam a pulseira correspondente na mãe. Por isso, se alguém, que não a mãe, levar o bebé para fora da maternidade, o alarme dispara. Eu disse, "Bem, isso é porreiro. Eu interrogo-me quão frequente são raptos de bebés dos hospitais." Eu chego a casa, e procuro. Praticamente nunca acontece.
(Laughter)
Mas se pensarem no assunto,
But if you think about it, if you are a hospital, and you need to take a baby away from its mother, out of the room to run some tests, you better have some good security theater, or she's going to rip your arm off.
se forem um hospital, e precisam de levar o bebé para longe da mãe, para fora do quarto para efectuar alguns testes, é melhor que tenham alguns adereços de segurança, ou ela vai-vos arrancar o braço.
(Laughter)
(risos)
So it's important for us, those of us who design security, who look at security policy -- or even look at public policy in ways that affect security. It's not just reality; it's feeling and reality. What's important is that they be about the same. It's important that, if our feelings match reality, we make better security trade-offs.
Por isso, isto é importante para nós, aqueles que desenvolvem segurança, que investigam normas de segurança, ou que até investigam normas públicas de formas que afectam a segurança. Não é apenas a realidade, é o sentimento e a realidade. O que é importante é que coincidam mais ou menos. é importante porque, se os nossos sentimentos coincidirem com a realidade, nós fazemos melhores escolhas de segurança.
Thank you.
Obrigado.
(Applause)
(Aplausos)