So, security is two different things: it's a feeling, and it's a reality. And they're different. You could feel secure even if you're not. And you can be secure even if you don't feel it. Really, we have two separate concepts mapped onto the same word. And what I want to do in this talk is to split them apart -- figuring out when they diverge and how they converge. And language is actually a problem here. There aren't a lot of good words for the concepts we're going to talk about. So if you look at security from economic terms, it's a trade-off.
Segurança são duas coisas diferentes: sensação, e realidade. E elas são de fato diferentes. Vocês podem se sentir seguros mesmo que não estejam. E podem estar seguros mesmo que não sintam essa segurança. Temos então dois conceitos distintos representados por uma só palavra. E o que quero fazer nesta palestra é separar um do outro -- compreendendo quando eles divergem e como convergem. E a linguagem aqui torna-se um problema. Não existem muitas palavras adequadas para os conceitos sobre os quais falaremos. Assim, se olharem para a segurança do ponto de vista econômico, ela é uma negociação.
Every time you get some security, you're always trading off something. Whether this is a personal decision -- whether you're going to install a burglar alarm in your home -- or a national decision, where you're going to invade a foreign country -- you're going to trade off something: money or time, convenience, capabilities, maybe fundamental liberties. And the question to ask when you look at a security anything is not whether this makes us safer, but whether it's worth the trade-off. You've heard in the past several years, the world is safer because Saddam Hussein is not in power. That might be true, but it's not terribly relevant. The question is: Was it worth it? And you can make your own decision, and then you'll decide whether the invasion was worth it. That's how you think about security: in terms of the trade-off.
Toda vez que vocês obtêm alguma segurança, estão sempre negociando alguma coisa. Seja por uma decisão pessoal -- ao instalarem um alarme contra roubo em suas casas -- ou por uma decisão nacional -- ao invadirem um país estrangeiro -- vocês vão trocar uma coisa por outra, seja dinheiro, tempo, comodidade, potencialidades, talvez liberdades essenciais. E a pergunta a fazer quando consideramos a segurança de qualquer coisa não é se isto nos tornará mais seguros, mas se essa troca valerá a pena. Nos últimos anos vocês têm ouvido falar que o mundo está mais seguro porque Saddan Hussein não está no poder. Talvez seja verdade, mas isto não é extremamente relevante. A pergunta é: valeu a pena? Vocês podem tomar uma decisão, e depois refletirem se a invasão valeu a pena. É assim que pensam sobre segurança -- do ponto de vista da negociação.
Now, there's often no right or wrong here. Some of us have a burglar alarm system at home and some of us don't. And it'll depend on where we live, whether we live alone or have a family, how much cool stuff we have, how much we're willing to accept the risk of theft. In politics also, there are different opinions. A lot of times, these trade-offs are about more than just security, and I think that's really important. Now, people have a natural intuition about these trade-offs. We make them every day. Last night in my hotel room, when I decided to double-lock the door, or you in your car when you drove here; when we go eat lunch and decide the food's not poison and we'll eat it.
Geralmente, nesse caso, não há certo ou errado. Alguns de nós temos sistema de alarme contra roubo em casa, outros não. Isso depende de onde moramos, se vivemos sozinhos ou temos família, da quantidade de bens materiais que possuímos, ou até que ponto estamos dispostos a aceitar o risco de sermos roubados. Na politica também existem opiniões diferentes. Muitas vezes, essas negociações representam muito mais do que segurança apenas. E acho que isso é muito importante. As pessoas hoje têm uma intuição natural sobre essas negociações. Fazemos isso todos os dias -- a noite passada no quarto do hotel, quando decidi dar duas voltas na chave do quarto, ou vocês, quando vieram para cá de carro, quando vamos almoçar e decidimos comer porque a comida não é veneno.
We make these trade-offs again and again, multiple times a day. We often won't even notice them. They're just part of being alive; we all do it. Every species does it. Imagine a rabbit in a field, eating grass. And the rabbit sees a fox. That rabbit will make a security trade-off: "Should I stay, or should I flee?" And if you think about it, the rabbits that are good at making that trade-off will tend to live and reproduce, and the rabbits that are bad at it will get eaten or starve. So you'd think that us, as a successful species on the planet -- you, me, everybody -- would be really good at making these trade-offs. Yet it seems, again and again, that we're hopelessly bad at it.
Fazemos concessões repetidas vezes, várias vezes ao dia. Às vezes nem percebemos. Isso quer dizer que estamos vivos; todos nós fazemos isso. Todas as espécies fazem. Imaginem um coelho num campo, comendo grama, e esse coelho avista uma raposa. Ele vai tomar decisões para sua segurança. "Devo ficar, ou fugir?" Se vocês pararem para pensar, os coelhos que são bons em tomar decisões tenderão a viver e a se reproduzir, enquanto aqueles que são ruins nisso serão devorados ou morrerão de fome. Então vocês hão de pensar que nós, como a espécie evoluída do planeta -- vocês, eu, todos nós -- seríamos muito bons em sacrificar uma coisa por outra. No entanto parece, mais uma vez, que somos irremediavelmente ruins nisso.
And I think that's a fundamentally interesting question. I'll give you the short answer. The answer is, we respond to the feeling of security and not the reality. Now, most of the time, that works. Most of the time, feeling and reality are the same. Certainly that's true for most of human prehistory. We've developed this ability because it makes evolutionary sense. One way to think of it is that we're highly optimized for risk decisions that are endemic to living in small family groups in the East African Highlands in 100,000 BC. 2010 New York, not so much. Now, there are several biases in risk perception. A lot of good experiments in this. And you can see certain biases that come up again and again. I'll give you four.
E acho que essa é uma questão bastante interessante. Vou dar-lhes uma resposta em breves palavras. Na verdade, reagimos à sensação de segurança, e não àquilo que é real. O que, na maioria das vezes, funciona. Muitas vezes, sensação e realidade são a mesma coisa. Isso certamente é verdade para a maior parte da humanidade na pré-história. Desenvolvemos esta habilidade porque obedece à lógica evolutiva. Uma forma de entender isso é que somos altamente desenvolvidos para tomar decisões de risco que são endêmicas à vida em pequenos grupos familiares nas terras altas do Leste Africano em 100.000 a.C. -- já em Nova York em 2010, nem tanto. Existem várias distorções na percepção do que é um risco. Há muitas experiências enriquecedoras neste sentido. E vocês podem entender certas distorções que aparecem repetidas vezes. E vou citar quatro delas.
We tend to exaggerate spectacular and rare risks and downplay common risks -- so, flying versus driving. The unknown is perceived to be riskier than the familiar. One example would be: people fear kidnapping by strangers, when the data supports that kidnapping by relatives is much more common. This is for children. Third, personified risks are perceived to be greater than anonymous risks. So, Bin Laden is scarier because he has a name. And the fourth is: people underestimate risks in situations they do control and overestimate them in situations they don't control. So once you take up skydiving or smoking, you downplay the risks. If a risk is thrust upon you -- terrorism is a good example -- you'll overplay it, because you don't feel like it's in your control.
Tendemos a agigantar riscos tremendos e raros e a minimizar riscos comuns -- como andar de avião e andar de carro. O desconhecido é considerado mais arriscado do que o que é familiar. Um exemplo disso seria o medo que as pessoas têm de serem sequestradas por estranhos, enquanto os dados apontam que é mais comum o sequestro por parentes. Isto, em se tratando de crianças. A terceira distorção seria os riscos personificados que são considerados maiores do que os anônimos -- desse jeito, Bin Laden é mais medonho porque tem um nome. E a quarta, é quando as pessoas subestimam os riscos em situações que podem ser controladas e os supervalorizam em situações de difícil controle. Uma vez que vocês resolvem fazer um salto em queda livre ou fumar, estão menosprezando os riscos. E se são submetidos a algum risco -- o terrorismo foi um bom exemplo -- vão supervalorizá-lo, porque acham que está fora de seu controle.
There are a bunch of other of these cognitive biases, that affect our risk decisions. There's the availability heuristic, which basically means we estimate the probability of something by how easy it is to bring instances of it to mind. So you can imagine how that works. If you hear a lot about tiger attacks, there must be a lot of tigers around. You don't hear about lion attacks, there aren't a lot of lions around. This works, until you invent newspapers, because what newspapers do is repeat again and again rare risks. I tell people: if it's in the news, don't worry about it, because by definition, news is something that almost never happens.
Há uma série de outras distorções, chamadas cognitivas, que afetam nossas decisões em relação aos riscos. Como a heurística de disponibilidade, que basicamente significa que nós calculamos a probabilidade de alguma coisa pela sua facilidade em trazer alternativas à nossa mente. Então vocês podem imaginar como isso funciona. Se vocês ouvem falar muito sobre ataques de tigres, é porque existem muitos deles ao seu redor. Se não ouvem falar de ataques de leões, então não existem leões à solta. Isto funcionava antes da invenção dos jornais. Porque o que eles fazem é repetir várias vezes riscos incomuns. É o que sempre digo, se está nos noticiários, não se preocupem. Já que, por definição, notícias de jornal quase sempre são falsas.
(Laughter)
(Risos)
When something is so common, it's no longer news. Car crashes, domestic violence -- those are the risks you worry about. We're also a species of storytellers. We respond to stories more than data. And there's some basic innumeracy going on. I mean, the joke "One, two, three, many" is kind of right. We're really good at small numbers. One mango, two mangoes, three mangoes, 10,000 mangoes, 100,000 mangoes -- it's still more mangoes you can eat before they rot. So one half, one quarter, one fifth -- we're good at that. One in a million, one in a billion -- they're both almost never.
Quando um fato é muito comum, deixa de estar nos noticiários -- acidentes de carro, violência doméstica -- esses são os riscos com os quais têm que se preocupar. Somos uma espécie de contadores de histórias. Respondemos a histórias mais do que aos dados. E existe a questão da quantidade. Isso significa que a brincadeira "Um, Dois, Três, um Montão" faz sentido. Somos muito bons em números pequenos. 1 manga, 2 mangas, 3 mangas, 10.000 mangas, 100.000 mangas -- são ainda mais mangas a comer antes de apodrecer. Assim 1/2, 1/4, 1/5 - somos bons nisso. 1 em um milhão, 1 em um bilhão -- significam quase nunca.
So we have trouble with the risks that aren't very common. And what these cognitive biases do is they act as filters between us and reality. And the result is that feeling and reality get out of whack, they get different. Now, you either have a feeling -- you feel more secure than you are, there's a false sense of security. Or the other way, and that's a false sense of insecurity.
Da mesma forma temos problemas com os riscos que não são muito comuns. E o que essas distorções cognitivas fazem é agir como filtros entre nós e a realidade. E o resultado é que sensação e realidade ficam desequilibradas, ficam diferentes. Neste caso, ou vocês têm uma sensação -- se sentem mais seguros do que estão. Existe uma falsa sensação de segurança. Ou ao contrário, ou seja, uma falsa sensação de insegurança.
I write a lot about "security theater," which are products that make people feel secure, but don't actually do anything. There's no real word for stuff that makes us secure, but doesn't make us feel secure. Maybe it's what the CIA is supposed to do for us. So back to economics. If economics, if the market, drives security, and if people make trade-offs based on the feeling of security, then the smart thing for companies to do for the economic incentives is to make people feel secure. And there are two ways to do this.
Escrevo muito sobre "teatro de segurança," que são produtos que fazem as pessoas se sentirem seguras, mas que na verdade não fazem nada disso. Não existe uma palavra para definir aquilo que nos torna seguros, mas não nos faça sentir seguros. Talvez seja isso que a CIA tenha que fazer por nós. Mas voltemos à economia. Se a economia, ou o mercado, transmite segurança, e se as pessoas fazem sacrifícios baseadas na sensação de segurança, então a medida mais inteligente a ser tomada pelas companhias em favor dos incentivos econômicos é fazer com que as pessoas se sintam seguras. E existem dois caminhos para chegar a isto.
One, you can make people actually secure and hope they notice. Or two, you can make people just feel secure and hope they don't notice. Right? So what makes people notice? Well, a couple of things: understanding of the security, of the risks, the threats, the countermeasures, how they work. But if you know stuff, you're more likely to have your feelings match reality. Enough real-world examples helps. We all know the crime rate in our neighborhood, because we live there, and we get a feeling about it that basically matches reality. Security theater is exposed when it's obvious that it's not working properly.
Primeiro, podemos tornar as pessoas verdadeiramente seguras e ter a esperança de que elas percebam. Segundo, podemos fazer com que se sintam seguras e esperar que não percebam E o que fará com que elas percebam? Na verdade, uma série de coisas: a compreensão da segurança, dos riscos, das ameaças, das medidas prévias, e de como elas funcionam. Mas se vocês têm conhecimento das coisas, são mais propensos a ter suas sensações condizendo com a realidade. Um número suficiente de exemplos do mundo real ajuda muito. Todos nós sabemos do índice de criminalidade na nossa vizinhança, porque moramos lá, e temos essa sensação que basicamente corresponde à realidade. A câmera de segurança fica visível quando é óbvio que não está funcionando adequadamente.
OK. So what makes people not notice? Well, a poor understanding. If you don't understand the risks, you don't understand the costs, you're likely to get the trade-off wrong, and your feeling doesn't match reality. Not enough examples. There's an inherent problem with low-probability events. If, for example, terrorism almost never happens, it's really hard to judge the efficacy of counter-terrorist measures. This is why you keep sacrificing virgins, and why your unicorn defenses are working just great. There aren't enough examples of failures. Also, feelings that cloud the issues -- the cognitive biases I talked about earlier: fears, folk beliefs -- basically, an inadequate model of reality.
Tudo bem, então o que faz com que as pessoas não percebam? Uma noção precária. Se vocês não entendem os riscos, não entendem os custos. E provavelmente farão concessões equivocadas, e sua sensação não corresponderá à realidade. Não há exemplos suficientes. Existe um problema inerente aos eventos de baixa probabilidade. Se, por exemplo, o terrorismo quase nunca acontece, é muito difícil julgar a eficácia das medidas anti-terroristas. É por isso que vocês continuam sacrificando as virgens, e por isso as defesas do unicórnio estão funcionando perfeitamente. Não existem exemplos suficientes de fracassos. Além disso, as sensações estão ofuscando as questões -- as distorções cognitivas das quais falei anteriormente, medos, crenças populares, basicamente um modelo de realidade inadequado.
So let me complicate things. I have feeling and reality. I want to add a third element. I want to add "model." Feeling and model are in our head, reality is the outside world; it doesn't change, it's real. Feeling is based on our intuition, model is based on reason. That's basically the difference. In a primitive and simple world, there's really no reason for a model, because feeling is close to reality. You don't need a model. But in a modern and complex world, you need models to understand a lot of the risks we face.
Então vamos complicar as coisas. Eu tenho sensação e realidade. Quero acrescentar um terceiro elemento. Um modelo. Sensação e modelo em nossa mente, realidade no mundo exterior. Isto não muda; é real. Logo, a sensação baseia-se em nossa intuição. O modelo baseia-se na razão. Essa é basicamente a diferença. Num mundo simples e primitivo, não há motivo para um modelo. Porque a sensação está próxima da realidade. Vocês não precisam de um modelo. Mas num mundo complexo e moderno, vocês precisam de modelos para entender muitos dos riscos com os quais nos deparamos.
There's no feeling about germs. You need a model to understand them. This model is an intelligent representation of reality. It's, of course, limited by science, by technology. We couldn't have a germ theory of disease before we invented the microscope to see them. It's limited by our cognitive biases. But it has the ability to override our feelings. Where do we get these models? We get them from others. We get them from religion, from culture, teachers, elders.
Não há como sentir as bactérias. Vocês precisam de um modelo para entendê-las. Então este modelo é uma representação inteligente da realidade. E, é claro, limitado pela ciência, pela tecnologia. Não poderíamos ter uma teoria bacteriana de uma doença antes de inventarmos o microscópio e observá-las. Isto é limitado pelas nossas distorções cognitivas. Mas tem a habilidade de anular nossas sensações. Onde conseguimos estes modelos? Através de outros. Conseguimos modelos através da religião, da cultura, de professores, de idosos.
A couple years ago, I was in South Africa on safari. The tracker I was with grew up in Kruger National Park. He had some very complex models of how to survive. And it depended on if you were attacked by a lion, leopard, rhino, or elephant -- and when you had to run away, when you couldn't run away, when you had to climb a tree, when you could never climb a tree. I would have died in a day. But he was born there, and he understood how to survive. I was born in New York City. I could have taken him to New York, and he would have died in a day.
Há alguns anos atrás, eu estava num safari na África do Sul. O guia que me acompanhava cresceu no Parque Nacional de Kruger. Ele tinha modelos bem complexos de sobrevivência. E tudo dependia de como você fosse atacado por um leão, um leopardo, um rinoceronte ou um elefante -- e quando você tinha que fugir, ou subir numa árvore -- quando você nunca poderia subir numa árvore. Eu teria morrido no mesmo dia, mas ele nasceu lá, e sabia como sobreviver. Eu nasci na cidade de Nova York. Eu poderia tê-lo levado para Nova York, e ele teria morrido no mesmo dia.
(Laughter)
(Risos)
Because we had different models based on our different experiences. Models can come from the media, from our elected officials ... Think of models of terrorism, child kidnapping, airline safety, car safety. Models can come from industry. The two I'm following are surveillance cameras, ID cards, quite a lot of our computer security models come from there.
Isso porque tínhamos modelos diferentes baseados em experiências diferentes. Os modelos podem surgir da mídia, de nossos candidatos eleitos. Pensem nos modelos do terrorismo, sequestros de crianças, segurança aérea, segurança automobilística. Os modelos podem surgir da indústria. Os dois que estou acompanhando são câmeras de vigilância, e carteiras de identidade. Muitos dos nossos modelos de segurança da computação vêm daí.
A lot of models come from science. Health models are a great example. Think of cancer, bird flu, swine flu, SARS. All of our feelings of security about those diseases come from models given to us, really, by science filtered through the media. So models can change. Models are not static. As we become more comfortable in our environments, our model can move closer to our feelings.
Muitos modelos surgem da ciência. Modelos da saúde são um grande exemplo. Pensem no câncer, na gripe aviária, na gripe suína, na SARS. Todas as nossas sensações de segurança a respeito dessas doenças surgem de modelos que certamente nos são dados pela ciência filtrada pela mídia. Logo, os modelos podem mudar. Os modelos não são estáticos. À medida em que nos tornamos mais confortáveis em nosso ambiente, nosso modelo pode se aproximar de nossas sensações.
So an example might be, if you go back 100 years ago, when electricity was first becoming common, there were a lot of fears about it. There were people who were afraid to push doorbells, because there was electricity in there, and that was dangerous. For us, we're very facile around electricity. We change light bulbs without even thinking about it. Our model of security around electricity is something we were born into. It hasn't changed as we were growing up. And we're good at it. Or think of the risks on the Internet across generations -- how your parents approach Internet security, versus how you do, versus how our kids will.
Um exemplo disso seria: se retrocederem 100 anos, quando a eletricidade estava apenas começando, havia muito medo em relação a ela. Por exemplo, algumas pessoas tinham medo de tocar campainhas, porque estavam carregadas de eletricidade, e aquilo era perigoso. Para nós, a eletricidade não tem mistério. Trocamos lâmpadas sem o menor problema. Nosso modelo de segurança em relação à eletricidade é uma coisa inata. Ela não mudou durante nosso crescimento. E somos bons nisso. Pensem então nos riscos da Internet através das gerações -- como seus pais lidam com a segurança na Internet, bem diferente de vocês, e como será com nossos filhos.
Models eventually fade into the background. "Intuitive" is just another word for familiar. So as your model is close to reality and it converges with feelings, you often don't even know it's there. A nice example of this came from last year and swine flu. When swine flu first appeared, the initial news caused a lot of overreaction. Now, it had a name, which made it scarier than the regular flu, even though it was more deadly. And people thought doctors should be able to deal with it. So there was that feeling of lack of control. And those two things made the risk more than it was.
Os modelos acabam desaparecendo. Intuitivo é apenas mais uma palavra para o que é familiar. Assim, a medida em que seu modelo se aproxima da realidade, e converge com as sensações, na maioria das vezes vocês não sabem que ele está lá. Logo, um bom exemplo disso surgiu com a gripe suína no ano passado. Quando a gripe suína apareceu pela primeira vez, as primeiras notícias causaram uma reação exagerada. Agora ela tinha um nome, que a tornava mais assustadora do que a gripe comum, embora fosse mais letal. E as pessoas achavam que os médicos deviam saber como lidar com ela. Então houve uma sensação de impotência. E essas duas coisas
As the novelty wore off and the months went by, there was some amount of tolerance; people got used to it. There was no new data, but there was less fear. By autumn, people thought the doctors should have solved this already. And there's kind of a bifurcation: people had to choose between fear and acceptance -- actually, fear and indifference -- and they kind of chose suspicion. And when the vaccine appeared last winter, there were a lot of people -- a surprising number -- who refused to get it. And it's a nice example of how people's feelings of security change, how their model changes, sort of wildly, with no new information, with no new input. This kind of thing happens a lot.
fizeram o risco ainda maior do que era. Quando deixou de ser novidade, os meses se passaram, houve uma dose de tolerância, e as pessoas se acostumaram a ela. Não havia nenhuma informação nova, mas havia menos temor. Quando chegou o outono, as pessoas achavam que os médicos já deveriam ter resolvido este problema. E há um tipo de divisão -- as pessoas tinham que escolher entre medo e aceitação -- na verdade, medo e indiferença -- e eles escolheram a desconfiança. E quando a vacina apareceu no último inverno, houve muitas pessoas -- um número surpreendente de pessoas -- que se recusaram a tomá-la -- como um bom exemplo de como mudam as sensações de segurança das pessoas, como mudam seus modelos, meio que descontroladamente, sem nenhuma informação nova, sem nenhum dado novo. Este tipo de coisa acontece muito.
I'm going to give one more complication. We have feeling, model, reality. I have a very relativistic view of security. I think it depends on the observer. And most security decisions have a variety of people involved. And stakeholders with specific trade-offs will try to influence the decision. And I call that their agenda. And you see agenda -- this is marketing, this is politics -- trying to convince you to have one model versus another, trying to convince you to ignore a model and trust your feelings, marginalizing people with models you don't like. This is not uncommon. An example, a great example, is the risk of smoking. In the history of the past 50 years, the smoking risk shows how a model changes, and it also shows how an industry fights against a model it doesn't like.
Vou citar mais um problema. Temos sensação, modelo, realidade. Tenho uma visão relativista de segurança. Acho que isso depende do observador. E muitas decisões sobre segurança têm uma variedade de pessoas envolvidas. E as partes interessadas em negociações específicas tentarão influenciar a decisão. E a isso eu chamo de sua ordem do dia. E vocês vêm a ordem do dia -- isto é comercialização, isto é política -- tentando convencer vocês a ter um modelo em detrimento de outro, tentando convencer vocês a ignorar um modelo e confiar em suas sensações, marginalizando as pessoas com modelos que vocês não gostam. Isto não é raro. Um exemplo, um ótimo exemplo, é o risco de fumar. Na história dos últimos 50 anos, o risco de fumar mostra como um modelo muda, e também mostra como uma indústria luta contra um modelo que ela não gosta.
Compare that to the secondhand smoke debate -- probably about 20 years behind. Think about seat belts. When I was a kid, no one wore a seat belt. Nowadays, no kid will let you drive if you're not wearing a seat belt. Compare that to the airbag debate, probably about 30 years behind. All examples of models changing. What we learn is that changing models is hard. Models are hard to dislodge. If they equal your feelings, you don't even know you have a model. And there's another cognitive bias I'll call confirmation bias, where we tend to accept data that confirms our beliefs and reject data that contradicts our beliefs. So evidence against our model, we're likely to ignore, even if it's compelling. It has to get very compelling before we'll pay attention.
Façam uma comparação com a discussão sobre o fumante passivo -- há cerca de 20 anos atrás. Pensem nos cintos de segurança. Quando eu era criança, ninguém usava cinto de segurança. Hoje em dia, nenhuma criança deixa vocês dirigirem se não estiverem usando um. Façam uma comparação com a discussão sobre o airbag -- há cerca de 30 anos atrás. Todos os exemplos de modelos estão mudando. Aprendemos que é difícil trocar de modelos. Os modelos são difíceis de serem removidos. Se eles se igualarem às suas sensações, vocês nem saberão que têm um modelo. E há uma outra distorção cognitiva que chamarei de distorção de confirmação, onde temos uma tendência a aceitar os dados que confirmam nossas crenças, e a rejeitar aqueles que as contrariam. Assim, costumamos ignorar uma evidência contra nosso modelo, mesmo que seja convincente. Ela tem que ser bastante convincente para prestarmos atenção.
New models that extend long periods of time are hard. Global warming is a great example. We're terrible at models that span 80 years. We can do "to the next harvest." We can often do "until our kids grow up." But "80 years," we're just not good at. So it's a very hard model to accept. We can have both models in our head simultaneously -- that kind of problem where we're holding both beliefs together, the cognitive dissonance. Eventually, the new model will replace the old model.
É difícil haver novos modelos que se extendam por longos períodos. O aquecimento global é um ótimo exemplo. Somos péssimos para modelos que se extendem por 80 anos. Podemos colher a próxima safra. Podemos fazer isso até nossos filhos crescerem. Mas não somos bons nisso durante 80 anos. Logo, esse é um modelo muito difícil de aceitar. Podemos pensar nos dois modelos ao mesmo tempo, ou naquele tipo de problema em que sustentamos as duas opiniões, ou a dissonância cognitiva. E por fim,
Strong feelings can create a model.
o modelo novo substituirá o antigo.
September 11 created a security model in a lot of people's heads. Also, personal experiences with crime can do it, personal health scare, a health scare in the news. You'll see these called "flashbulb events" by psychiatrists. They can create a model instantaneously, because they're very emotive. So in the technological world, we don't have experience to judge models. And we rely on others. We rely on proxies. And this works, as long as it's the correct others.
Fortes sensações podem criar um modelo. O 11 de setembro criou um modelo de segurança nas mentes de muitas pessoas. Experiências pessoais com o crime também podem fazer isso, ameaças à saúde das pessoas, uma ameaça nos noticiários. Vocês verão esses chamados fatos-relâmpagos pelos psiquiatras. Eles podem criar um modelo rapidamente, porque são muito emotivos. Assim, no mundo tecnológico, não temos experiência para julgar modelos. E confiamos nos outros. Confiamos nos servidores proxy. Portanto, isto funciona o tempo suficiente para se corrigir os outros.
We rely on government agencies to tell us what pharmaceuticals are safe. I flew here yesterday. I didn't check the airplane. I relied on some other group to determine whether my plane was safe to fly. We're here, none of us fear the roof is going to collapse on us, not because we checked, but because we're pretty sure the building codes here are good. It's a model we just accept pretty much by faith. And that's OK.
Confiamos nas agências governamentais para que nos digam quais medicamentos são seguros. Cheguei aqui ontem de avião. Não inspecionei o avião. Confiei em algum outro grupo para determinar se meu avião estava seguro para voar. Estamos aqui, e nenhum de nós tem medo que o telhado caia em nossas cabeças, mas não é porque nós fizemos alguma inspeção, mas porque temos certeza que podemos confiar nos códigos de construção daqui. É um modelo que simplesmente aceitamos praticamente pela confiança. E está tudo bem.
Now, what we want is people to get familiar enough with better models, have it reflected in their feelings, to allow them to make security trade-offs. When these go out of whack, you have two options. One, you can fix people's feelings, directly appeal to feelings. It's manipulation, but it can work. The second, more honest way is to actually fix the model. Change happens slowly. The smoking debate took 40 years -- and that was an easy one. Some of this stuff is hard. Really, though, information seems like our best hope.
Agora, o que queremos é que as pessoas se familiarizem o bastante com modelos melhores -- que os tenha refletidos em suas sensações -- para lhes permitir fazer negociações de segurança. Mas quando elas entram em desequilíbrio, vocês têm duas opções. Primeiro, vocês podem definir as sensações das pessoas, apelando diretamente aos sentimentos. Isso é manipulação, mas pode funcionar. A segunda, e a maneira mais honesta, é realmente definir o modelo. A mudança ocorre lentamente. A discussão sobre o fumo levou 40 anos, e aquela foi uma das mais fáceis. Algumas dessas coisas são difíceis. Difíceis de verdade, embora a informação pareça ser nossa melhor esperança.
And I lied. Remember I said feeling, model, reality; reality doesn't change? It actually does. We live in a technological world; reality changes all the time. So we might have, for the first time in our species: feeling chases model, model chases reality, reality's moving -- they might never catch up. We don't know. But in the long term, both feeling and reality are important.
E eu menti. Lembram-se quando eu falei sensação, modelo, e realidade? Eu disse que a realidade não se modifica. Isso não é verdade. Vivemos num mundo tecnológico; a realidade se modifica o tempo todo. Logo, teríamos -- pela primeira vez na nossa espécie -- a sensação indo atrás do modelo, o modelo atrás da realidade, e a realidade se deslocando -- talvez eles nunca se alcancem. Não sabemos. Mas a longo prazo, tanto a sensação quanto a realidade são importantes.
And I want to close with two quick stories to illustrate this. 1982 -- I don't know if people will remember this -- there was a short epidemic of Tylenol poisonings in the United States. It's a horrific story. Someone took a bottle of Tylenol, put poison in it, closed it up, put it back on the shelf, someone else bought it and died. This terrified people. There were a couple of copycat attacks. There wasn't any real risk, but people were scared. And this is how the tamper-proof drug industry was invented. Those tamper-proof caps? That came from this. It's complete security theater. As a homework assignment, think of 10 ways to get around it. I'll give you one: a syringe. But it made people feel better. It made their feeling of security more match the reality.
E eu gostaria de encerrar com duas rápidas histórias para ilustrar isto. 1982 -- não sei se as pessoas se lembrarão disto -- houve uma rápida epidemia de envenenamentos por Tylenol nos Estados Unidos. É uma história horrível. Alguém pegou um vidro de Tylenol, colocou veneno dentro, fechou o vidro e o colocou de volta na prateleira. Outra pessoa o comprou e morreu. Isto aterrorizou as pessoas. Houve um monte de ataques parecidos. Na verdade, não havia risco algum, mas as pessoas ficaram com medo. E foi assim que a indústria de drogas invioláveis foi inventada. Daí é que vieram as tampas invioláveis. É um perfeito teatro de segurança. Como tarefa de casa, pensem em 10 maneiras de se chegar até esse teatro. Vou citar apenas uma, a seringa. Mas isso fez com que as pessoas se sentissem melhor. Deu-lhes a sensação de segurança mais de acordo com a realidade.
Last story: a few years ago, a friend of mine gave birth. I visit her in the hospital. It turns out, when a baby's born now, they put an RFID bracelet on the baby, a corresponding one on the mother, so if anyone other than the mother takes the baby out of the maternity ward, an alarm goes off. I said, "Well, that's kind of neat. I wonder how rampant baby snatching is out of hospitals." I go home, I look it up. It basically never happens.
Última história, alguns anos atrás, uma amiga minha teve um filho. Vou visitá-la no hospital. Isso acontece agora quando um bebê nasce, eles colocam uma etiqueta RFID no bebê, e outra correspondente na mãe, de forma que se outra pessoa que não seja a mãe tirar o bebê do berçário, vai soar um alarme. Pensei, "Bom, isso parece simples. Imagino como deve ser violento o sequestro de bebês dos hospitais." Vou pra casa, e faço uma pesquisa. Isso raramente acontece.
(Laughter)
Mas se vocês pensarem nisso,
But if you think about it, if you are a hospital, and you need to take a baby away from its mother, out of the room to run some tests, you better have some good security theater, or she's going to rip your arm off.
se vocês trabalham num hospital, e precisam tirar um bebê de sua mãe, para fazer alguns testes, é melhor contarem com um bom teatro de segurança, ou a mãe vai arrancar o seu braço.
(Laughter)
(Risos)
So it's important for us, those of us who design security, who look at security policy -- or even look at public policy in ways that affect security. It's not just reality; it's feeling and reality. What's important is that they be about the same. It's important that, if our feelings match reality, we make better security trade-offs.
Assim, é importante para nós, que projetamos segurança, que analisamos a política de segurança, ou até a política pública de maneiras que afetam a segurança. Isso não é apenas realidade, é sensação e realidade. E o mais importante é que elas são a mesma coisa. É importante que, se nossas sensações correspondem à realidade, façamos melhores negociações de segurança.
Thank you.
Obrigado.
(Applause)
(Aplausos)