So, security is two different things: it's a feeling, and it's a reality. And they're different. You could feel secure even if you're not. And you can be secure even if you don't feel it. Really, we have two separate concepts mapped onto the same word. And what I want to do in this talk is to split them apart -- figuring out when they diverge and how they converge. And language is actually a problem here. There aren't a lot of good words for the concepts we're going to talk about. So if you look at security from economic terms, it's a trade-off.
Итак, безопасность — это две разные вещи: ощущение и реальность. И они разные. Вы можете чувствовать себя защищённым, даже если на самом деле это не так. И вы можете быть вне опасности, даже если чувствуете по-другому. На самом деле, два различных понятия соответствуют одному слову. В этой лекции я хочу разделить их, разобраться чем они отличаются и чем они похожи. Начнём с проблемы терминологии. У нас очень мало подходящих слов, чтобы выразить понятия, о которых сейчас пойдёт речь. Если посмотреть на безопасность с точки зрения экономики — это компромисс.
Every time you get some security, you're always trading off something. Whether this is a personal decision -- whether you're going to install a burglar alarm in your home -- or a national decision, where you're going to invade a foreign country -- you're going to trade off something: money or time, convenience, capabilities, maybe fundamental liberties. And the question to ask when you look at a security anything is not whether this makes us safer, but whether it's worth the trade-off. You've heard in the past several years, the world is safer because Saddam Hussein is not in power. That might be true, but it's not terribly relevant. The question is: Was it worth it? And you can make your own decision, and then you'll decide whether the invasion was worth it. That's how you think about security: in terms of the trade-off.
Каждый раз, добиваясь большей безопасности, мы чем-то за это платим. Будь то личное решение — — устанавливать ли сигнализацию в доме — или решение национального масштаба — не завоевать ли какую-нибудь страну — нам приходится чем-то поступиться, будь то деньги или время, удобство, возможности, или даже фундаментальные права. Вопрос, который стоит задать при решении любых проблем безопасности не «Насколько это эффективно против угрозы?», а «Стоит ли оно того?» В последние годы много говорится о том, что мир стал безопаснее после отстранения Саддама Хусейна от власти. Может это и правда, но это не так уж важно. Вопрос в том, стоила ли овчинка выделки? Сначала можно решить что-то сделать, а потом решить, оправдало ли себя вторжение. Именно так нужно думать в области безопасности — в терминах компромисса.
Now, there's often no right or wrong here. Some of us have a burglar alarm system at home and some of us don't. And it'll depend on where we live, whether we live alone or have a family, how much cool stuff we have, how much we're willing to accept the risk of theft. In politics also, there are different opinions. A lot of times, these trade-offs are about more than just security, and I think that's really important. Now, people have a natural intuition about these trade-offs. We make them every day. Last night in my hotel room, when I decided to double-lock the door, or you in your car when you drove here; when we go eat lunch and decide the food's not poison and we'll eat it.
И речь часто не о том, что правильно, а что нет. Кто-то устанавливает дома сигнализацию, а кто-то — нет. Это зависит от места жительства, семейного положения, достатка, и того, насколько мы готовы принять риск кражи. Так же как и в политике, есть много разных мнений. Часто компромиссы в области безопасности затрагивают не только нашу защищённость, и я считаю это очень важным. Мы интуитивно понимаем эти компромиссы. Мы делаем этот выбор ежедневно — вчера вечером в гостинице, когда я решил закрыть дверь на все замки, или вы в своей машине на пути сюда, за обедом, когда мы решаем что еда не отравлена и мы её съедим.
We make these trade-offs again and again, multiple times a day. We often won't even notice them. They're just part of being alive; we all do it. Every species does it. Imagine a rabbit in a field, eating grass. And the rabbit sees a fox. That rabbit will make a security trade-off: "Should I stay, or should I flee?" And if you think about it, the rabbits that are good at making that trade-off will tend to live and reproduce, and the rabbits that are bad at it will get eaten or starve. So you'd think that us, as a successful species on the planet -- you, me, everybody -- would be really good at making these trade-offs. Yet it seems, again and again, that we're hopelessly bad at it.
Мы делаем подобный выбор снова и снова, по многу раз в день. Часто мы этого даже не замечаем. Это просто часть жизни, часть жизни каждого из нас. Каждой живое существо делает это. Возьмём, к примеру, кролика в поле, грызущего траву, и вдруг замечающего лису. Перед кроликом встанет выбор: «Оставаться или бежать?» И если подумать, то кролики, которые умеют делать правильный выбор, останутся в живых и дадут потомство, а кролики, которые ошибаются, будут съедены или умрут от голода. Можно подумать, что мы как вид успешный на этой планете — ты, я, любой человек -- должны безошибочно решать такие задачки. Однако практика показывает снова и снова, что мы практически неспособны это делать.
And I think that's a fundamentally interesting question. I'll give you the short answer. The answer is, we respond to the feeling of security and not the reality. Now, most of the time, that works. Most of the time, feeling and reality are the same. Certainly that's true for most of human prehistory. We've developed this ability because it makes evolutionary sense. One way to think of it is that we're highly optimized for risk decisions that are endemic to living in small family groups in the East African Highlands in 100,000 BC. 2010 New York, not so much. Now, there are several biases in risk perception. A lot of good experiments in this. And you can see certain biases that come up again and again. I'll give you four.
И это чрезвычайно интересная задачка. Я дам вам краткий ответ. Дело в том, что мы принимаем решения основываясь на ощущении безопасности, а не на фактах. И в основном это работает. Довольно часто ощущения и реальность совпадают. По меньшей мере, так всегда было раньше. Эта наша способность была развита путём естественного отбора. Можно сказать, что мы приспособлены для принятия решений о рисках, которые относятся к жизни в небольших семейных группах на восточноафриканском плоскогорье сто тысяч лет до нашей эры. Нью-Йорк 2010-го? Совсем другое дело. Есть разные предубеждения в восприятии риска. И много хороших экспериментов было проведено на эту тему. И можно заметить, что определённые предубеждения встречаются раз за разом. Я перечислю четыре из них.
We tend to exaggerate spectacular and rare risks and downplay common risks -- so, flying versus driving. The unknown is perceived to be riskier than the familiar. One example would be: people fear kidnapping by strangers, when the data supports that kidnapping by relatives is much more common. This is for children. Third, personified risks are perceived to be greater than anonymous risks. So, Bin Laden is scarier because he has a name. And the fourth is: people underestimate risks in situations they do control and overestimate them in situations they don't control. So once you take up skydiving or smoking, you downplay the risks. If a risk is thrust upon you -- terrorism is a good example -- you'll overplay it, because you don't feel like it's in your control.
Мы склонны преувеличивать эффектные и редкие риски и преуменьшать повседневные риски: сравните авиаперелёты и вождение автомобиля. Незнакомое воспринимается более рискованным, чем знакомое. Например, многие боятся похищений незнакомцами, тогда как, согласно данным, гораздо чаще похищения совершают родственники, Речь о похищении детей. В-третьих, олицетворённые риски воспринимаются как более опасные, чем обезличенные риски — так бен Ладен становится страшнее, потому что у него есть имя. И в-четвёртых, люди недооценивают риски в ситуациях им подконтрольных, и переоценивают риски в ситуациях, которые они не контролируют. Как только вы начинаете прыгать с парашютом или курить, вы начинаете недооценивать риски. Когда же риск вам навязан — например как с терроризмом — вы его переоцените, потому что у вас нет ощущения контроля.
There are a bunch of other of these cognitive biases, that affect our risk decisions. There's the availability heuristic, which basically means we estimate the probability of something by how easy it is to bring instances of it to mind. So you can imagine how that works. If you hear a lot about tiger attacks, there must be a lot of tigers around. You don't hear about lion attacks, there aren't a lot of lions around. This works, until you invent newspapers, because what newspapers do is repeat again and again rare risks. I tell people: if it's in the news, don't worry about it, because by definition, news is something that almost never happens.
Есть целый ряд подобных искажений восприятия, которые влияют на принятие решений в рискованных ситуациях. Например, доступность опыта, что, по сути, означает, что мы оцениваем вероятность события по тому, насколько легко вспомнить примеры таких событий. Попробуем представить, как это получается. Если мы постоянно слышим о нападениях тигров — в округе должно быть много тигров. Если о нападениях львов ничего не слышно — львов в округе не много. Это работало пока не изобрели газеты. Потому что суть газет в том, что они раз за разом повторяют редкие риски. Я всегда говорю, что если об этом пишут в новостях — спите спокойно. Просто по определению, новость — это то, что почти никогда не случается.
(Laughter)
(Смех)
When something is so common, it's no longer news. Car crashes, domestic violence -- those are the risks you worry about. We're also a species of storytellers. We respond to stories more than data. And there's some basic innumeracy going on. I mean, the joke "One, two, three, many" is kind of right. We're really good at small numbers. One mango, two mangoes, three mangoes, 10,000 mangoes, 100,000 mangoes -- it's still more mangoes you can eat before they rot. So one half, one quarter, one fifth -- we're good at that. One in a million, one in a billion -- they're both almost never.
Когда что-то становится обыденным, это больше не новость — автомобильные аварии, бытовые преступления — это именно те риски, о которых нужно беспокоиться. К тому же, люди — это рассказчики. Мы принимаем рассказы близко к сердцу, ближе, чем факты. Но при этом, мы, в общем-то, не умеем считать. Я имею в виду, что многие считают: «один, два, три, много». Мы очень хорошо понимаем небольшие числа. Одно яблоко, два яблока, три яблока, 10 000 яблок, 100 000 яблок — это намного больше яблок, чем можно съесть, прежде чем они сгниют. Т.е. половинка, четвертинка — это просто и понятно. Раз в миллион, раз в миллиард — это всё равно, что никогда.
So we have trouble with the risks that aren't very common. And what these cognitive biases do is they act as filters between us and reality. And the result is that feeling and reality get out of whack, they get different. Now, you either have a feeling -- you feel more secure than you are, there's a false sense of security. Or the other way, and that's a false sense of insecurity.
Поэтому нам сложно с рисками, которые не являются повседневными. Так вот эти искажения восприятия работают как фильтры между нами и реальностью. И в результате, ощущение и реальность больше не совпадают, они начинают отличаться. И вот тут, либо вы ощущаете себя безопаснее, чем на самом деле — это ложное чувство безопасности — либо наоборот — и это ложное чувство опасности.
I write a lot about "security theater," which are products that make people feel secure, but don't actually do anything. There's no real word for stuff that makes us secure, but doesn't make us feel secure. Maybe it's what the CIA is supposed to do for us. So back to economics. If economics, if the market, drives security, and if people make trade-offs based on the feeling of security, then the smart thing for companies to do for the economic incentives is to make people feel secure. And there are two ways to do this.
Я много пишу об «играх в безопасность», о тех мерах, которые внушают людям чувство защищённости, но реально ничего не дают. Не существует термина для мер, которые делают нас защищённее, но не дают чувства защищённости. Наверное, это то, чем должно заниматься ЦРУ. Давайте вернёмся к экономике. Если деньги, если рынок определяет меры безопасности и если люди принимают решения основываясь на чувстве защищённости, то самое умное, что может сделать компания, исходя из экономических соображений, — это дать людям чувство защищённости. И всегда есть два способа этого добиться.
One, you can make people actually secure and hope they notice. Or two, you can make people just feel secure and hope they don't notice. Right? So what makes people notice? Well, a couple of things: understanding of the security, of the risks, the threats, the countermeasures, how they work. But if you know stuff, you're more likely to have your feelings match reality. Enough real-world examples helps. We all know the crime rate in our neighborhood, because we live there, and we get a feeling about it that basically matches reality. Security theater is exposed when it's obvious that it's not working properly.
Первый — можно реально защитить людей и надеяться, что они обратят внимание. Или второй — можно создать чувство защищённости и надеяться, что они не обратят внимания. Что же заставляет людей обращать внимание? Ряд вещей: понимание мер безопасности, рисков, угроз контрмер, и как всё это работает. Но если вы в этом разбираетесь, то более вероятно, что ваши ощущения совпадают с реальностью. Здесь хорошо работает жизненный опыт. Все мы знаем неблагополучные районы города, потому что мы тут живём, и, в общем, наше чувство опасности совпадает с реальностью. «Игры в безопасность» вскрываются, когда становится очевидно, что меры безопасности не работают.
OK. So what makes people not notice? Well, a poor understanding. If you don't understand the risks, you don't understand the costs, you're likely to get the trade-off wrong, and your feeling doesn't match reality. Not enough examples. There's an inherent problem with low-probability events. If, for example, terrorism almost never happens, it's really hard to judge the efficacy of counter-terrorist measures. This is why you keep sacrificing virgins, and why your unicorn defenses are working just great. There aren't enough examples of failures. Also, feelings that cloud the issues -- the cognitive biases I talked about earlier: fears, folk beliefs -- basically, an inadequate model of reality.
Итак, почему же люди не обращают внимания? Из-за непонимания. Если вы не понимаете риски, не понимаете, каковы издержки, вы склонны принять ошибочное решение, и ваше чувство безопасности не совпадает с реальностью. Из-за недостатка жизненного опыта. Эта проблема присуща маловероятным событиям. Например, если теракты случаются очень редко, то очень тяжело оценить эффективность контртеррористических мер. Вот почему продолжается охота на ведьм, и вот почему бутафорские меры работают до поры до времени. Недостаточно примеров сбоев этих мер. К тому же, чувства затмевают разум — искажения восприятия, о которых я говорил раньше, страхи, народные поверья, просто-напросто неадекватная модель реальности.
So let me complicate things. I have feeling and reality. I want to add a third element. I want to add "model." Feeling and model are in our head, reality is the outside world; it doesn't change, it's real. Feeling is based on our intuition, model is based on reason. That's basically the difference. In a primitive and simple world, there's really no reason for a model, because feeling is close to reality. You don't need a model. But in a modern and complex world, you need models to understand a lot of the risks we face.
Давайте усложним. Есть ощущение, и есть действительность. Добавим третий элемент. Добавим модель. Ощущение и модель у нас в уме, реальность это окружающий мир. Он не изменчив, он настоящий. Итак, ощущение основано на интуиции. Модель основана на логических умозаключениях. Вот и вся разница. В примитивном и простом мире модель не нужна. Потому что ощущение близко к действительности. Модель просто не нужна. Но в современном сложном мире нужны модели, чтобы понять большую часть встречаемых нами рисков.
There's no feeling about germs. You need a model to understand them. This model is an intelligent representation of reality. It's, of course, limited by science, by technology. We couldn't have a germ theory of disease before we invented the microscope to see them. It's limited by our cognitive biases. But it has the ability to override our feelings. Where do we get these models? We get them from others. We get them from religion, from culture, teachers, elders.
Мы не ощущаем бактерий. Нам нужна модель, чтобы понять, что такое бактерии. И эта модель является осмысленным представлением действительности. Конечно, она ограничена текущим уровнем развития науки, технологии. Мы не знали, что бактерии являются причиной болезней, пока мы не изобрели микроскоп, чтобы видеть их. Она ограничена искажениями нашего восприятия. Но она даёт возможность пересилить ощущения. Откуда же берутся модели? Мы заимствуем их у других. Они достаются нам из религии, из культуры, от учителей, от родителей.
A couple years ago, I was in South Africa on safari. The tracker I was with grew up in Kruger National Park. He had some very complex models of how to survive. And it depended on if you were attacked by a lion, leopard, rhino, or elephant -- and when you had to run away, when you couldn't run away, when you had to climb a tree, when you could never climb a tree. I would have died in a day. But he was born there, and he understood how to survive. I was born in New York City. I could have taken him to New York, and he would have died in a day.
Пару лет назад я был в Южной Африке на сафари. Егерь, меня сопровождавший, вырос в Национальном парке Крюгера. У него был ряд довольно сложных моделей для выживания. Они предусматривали случаи нападения львов, и леопардов, и носорогов, и слонов, и когда нужно было бежать, а когда — лезть на дерево, и когда лезть нельзя ни в коем случае. Я бы умер там в первый же день, но он там родился, и он знает, как там выжить. Я родился в Нью-Йорке. Я мог бы привезти его в Нью-Йорк, и он не выжил бы и дня.
(Laughter)
(Смех)
Because we had different models based on our different experiences. Models can come from the media, from our elected officials ... Think of models of terrorism, child kidnapping, airline safety, car safety. Models can come from industry. The two I'm following are surveillance cameras, ID cards, quite a lot of our computer security models come from there.
Потому что у нас разные модели, основанные на разном жизненном опыте. Модели могут навязываться СМИ и чиновниками. Подумайте о модели терроризма, о похищениях детей, безопасности полётов, безопасности дорожного движения. Модели могут навязываться индустрией. Я слежу за двумя из них — камерами наблюдения и удостоверениями личности — довольно много моделей компьютерной безопасности берут начало оттуда.
A lot of models come from science. Health models are a great example. Think of cancer, bird flu, swine flu, SARS. All of our feelings of security about those diseases come from models given to us, really, by science filtered through the media. So models can change. Models are not static. As we become more comfortable in our environments, our model can move closer to our feelings.
Много моделей приходит из науки. Модели болезней — отличный пример. Например рак, птичий грипп, свиной грипп, атипичная пневмония. Наши ощущения опасности этих болезней берут начало в моделях, данных нам наукой и изменённых СМИ. Итак, модели могут меняться. Модели не статичны. По мере привыкания к среде наши модели могут приблизиться к нашим ощущениям.
So an example might be, if you go back 100 years ago, when electricity was first becoming common, there were a lot of fears about it. There were people who were afraid to push doorbells, because there was electricity in there, and that was dangerous. For us, we're very facile around electricity. We change light bulbs without even thinking about it. Our model of security around electricity is something we were born into. It hasn't changed as we were growing up. And we're good at it. Or think of the risks on the Internet across generations -- how your parents approach Internet security, versus how you do, versus how our kids will.
Например, если вернуться на сто лет назад, когда электричество только входило в обиход, ему сопутствовало много страхов. Люди буквально боялись звонить в дверной звонок, потому там внутри было электричество и это было опасно. Для нас электричество обыденно. Мы меняем лампочки даже не задумываясь о нём. Наша модель безопасности электричества — это то, с чем мы родились. Оно не менялось пока мы взрослели. И нам с ним легко. Или, например, восприятие рисков в интернете разными поколениями — как старшее поколение понимает безопасность в интернете и как — вы, и как её будут понимать ваши дети.
Models eventually fade into the background. "Intuitive" is just another word for familiar. So as your model is close to reality and it converges with feelings, you often don't even know it's there. A nice example of this came from last year and swine flu. When swine flu first appeared, the initial news caused a lot of overreaction. Now, it had a name, which made it scarier than the regular flu, even though it was more deadly. And people thought doctors should be able to deal with it. So there was that feeling of lack of control. And those two things made the risk more than it was.
Рано или поздно модели уходят на задний фон. Интуитивно-понятный это то же что и знакомый. Так вот, когда модель близка к действительности и совпадает с ощущениями, мы перестаём её замечать. Красивый пример -- прошлогодняя эпидемия свиного гриппа. Когда свиной грипп только появился, первые новости вызвали чрезмерную реакцию. Ему дали имя, что сделало его страшнее обычного гриппа, при том, что обычный грипп более опасный. И люди считали, что медики должны что-то сделать. Возникло то самое ощущение бесконтрольности. Сочетание этих двух факторов
As the novelty wore off and the months went by, there was some amount of tolerance; people got used to it. There was no new data, but there was less fear. By autumn, people thought the doctors should have solved this already. And there's kind of a bifurcation: people had to choose between fear and acceptance -- actually, fear and indifference -- and they kind of chose suspicion. And when the vaccine appeared last winter, there were a lot of people -- a surprising number -- who refused to get it. And it's a nice example of how people's feelings of security change, how their model changes, sort of wildly, with no new information, with no new input. This kind of thing happens a lot.
раздуло риск свыше реального. Как только новизна пропала, прошли месяцы, притерпелись, и люди к нему привыкли. Новых данных не поступало, но страх снижался. К осени люди думали что медики уже решили эту проблему. Была некая развилка — люди стояли перед выбором между страхом и признанием, на самом деле, между страхом и безразличием, и они выбрали подозрительность. И когда прошлой зимой появилась вакцина, много людей, поразительно много, отказались сделать прививку — прекрасный пример того, как меняется ощущение опасности и как меняются соответствующие модели, сильно меняются, даже без новой информации, даже без новых данных. Подобное происходит довольно часто.
I'm going to give one more complication. We have feeling, model, reality. I have a very relativistic view of security. I think it depends on the observer. And most security decisions have a variety of people involved. And stakeholders with specific trade-offs will try to influence the decision. And I call that their agenda. And you see agenda -- this is marketing, this is politics -- trying to convince you to have one model versus another, trying to convince you to ignore a model and trust your feelings, marginalizing people with models you don't like. This is not uncommon. An example, a great example, is the risk of smoking. In the history of the past 50 years, the smoking risk shows how a model changes, and it also shows how an industry fights against a model it doesn't like.
Усложним ещё раз. Есть ощущения, модель, реальность. У меня очень относительное понятие о безопасности. Я считаю, что она зависит от наблюдателя. И в большинство решений о безопасности вовлечены разные люди. И стороны со специальными интересами будут пробовать влиять на решение. Я называю это их секретным планом. Видите ли, план — а это и маркетинг, и политика — в том, чтобы убедить вас использовать одну модель, а не другую, в том, чтобы убедить проигнорировать модель и довериться чувствам, очерняя людей с «неудобными» моделями. Это не такая уж редкость. Отличный пример — вред от курения. Последние 50 лет показали как меняется восприятие вреда от курения и как табачная промышленность борется против модели, которая ей не нравится.
Compare that to the secondhand smoke debate -- probably about 20 years behind. Think about seat belts. When I was a kid, no one wore a seat belt. Nowadays, no kid will let you drive if you're not wearing a seat belt. Compare that to the airbag debate, probably about 30 years behind. All examples of models changing. What we learn is that changing models is hard. Models are hard to dislodge. If they equal your feelings, you don't even know you have a model. And there's another cognitive bias I'll call confirmation bias, where we tend to accept data that confirms our beliefs and reject data that contradicts our beliefs. So evidence against our model, we're likely to ignore, even if it's compelling. It has to get very compelling before we'll pay attention.
Сравните это с дискуссией о вреде пассивного курения примерно 20-летней давности. Вспомните о ремнях безопасности. Когда я был ребёнком, никто не пристёгивался. Сегодня ни один ребёнок не даст вам поехать если вы не пристегнули ремень. Сравните это с дискуссией о подушках безопасности примерно 30-летней давности. Всё это примеры изменяющихся моделей. Что мы узнали, так это то, что менять модели сложно. Модели сложно вытеснить. А если они совпадают с ощущениями, то вы даже не знаете, что пользуетесь моделью. Есть и другое искажение восприятия. Я называю его ошибка подтверждения, когда мы склонны рассматривать данные, которые подтверждают наши убеждения и отвергать данные противоречащие нашим убеждениям. Так, свидетельство против нашей модели мы скорее всего проигнорируем, даже если оно убедительно. Оно должно стать очень убедительным, прежде чем мы обратим внимание.
New models that extend long periods of time are hard. Global warming is a great example. We're terrible at models that span 80 years. We can do "to the next harvest." We can often do "until our kids grow up." But "80 years," we're just not good at. So it's a very hard model to accept. We can have both models in our head simultaneously -- that kind of problem where we're holding both beliefs together, the cognitive dissonance. Eventually, the new model will replace the old model.
Особенно сложны новые модели с долгосрочными последствиями. Глобальное потепление — отличный пример. Мы становимся двоечниками когда речь идёт о моделях с продолжительностью в 80 лет. Мы можем дотянуть до следующего урожая. Мы можем спланировать и вырастить детей. Но 80 лет — это для нас слишком сложно. Именно поэтому эту модель так трудно принять. Иногда мы держим в уме несколько моделей одновременно, это похоже на то, когда мы верим одновременно в разные вещи, на внутреннее противоречие. Рано или поздно
Strong feelings can create a model.
новая модель заменит старую.
September 11 created a security model in a lot of people's heads. Also, personal experiences with crime can do it, personal health scare, a health scare in the news. You'll see these called "flashbulb events" by psychiatrists. They can create a model instantaneously, because they're very emotive. So in the technological world, we don't have experience to judge models. And we rely on others. We rely on proxies. And this works, as long as it's the correct others.
Сильные переживания могут создать модель. Теракт 11-го сентября создал новую модель безопасности в умах многих людей. Также могут и столкновения с преступностью, страх заболеть, страшные новости об эпидемиях. Такие события психиатры называют события-вспышки. Они могут создать модель мгновенно, потому что они очень эмоциональны. В технологическом мире у нас просто нет опыта для оценки моделей. И мы полагаемся на суждение других. Мы полагаемся на посредников. Я имею в виду, что это работает с компетентным посредником.
We rely on government agencies to tell us what pharmaceuticals are safe. I flew here yesterday. I didn't check the airplane. I relied on some other group to determine whether my plane was safe to fly. We're here, none of us fear the roof is going to collapse on us, not because we checked, but because we're pretty sure the building codes here are good. It's a model we just accept pretty much by faith. And that's OK.
Мы полагаемся на Минздрав в решениях о безопасности лекарств. Я вчера прилетел сюда. Я не проверял самолёт лично. Я доверил кому-то другому Проверить, что мой самолёт был безопасен. В этом зале никто не боится, что крыша рухнет, не потому что мы лично проверили, а потому что мы знаем, что местные строительные стандарты надёжны. Это лишь одна из моделей, которые мы принимаем на веру. И это нормально.
Now, what we want is people to get familiar enough with better models, have it reflected in their feelings, to allow them to make security trade-offs. When these go out of whack, you have two options. One, you can fix people's feelings, directly appeal to feelings. It's manipulation, but it can work. The second, more honest way is to actually fix the model. Change happens slowly. The smoking debate took 40 years -- and that was an easy one. Some of this stuff is hard. Really, though, information seems like our best hope.
Чего мы хотим, так это, чтобы люди обучались наилучшим моделям и приводили свои чувства в соответствие с этими моделями, что позволит им делать правильный выбор. Когда же модель перестаёт работать, у вас есть два варианта. Первый — можно исправить ощущения людей, напрямую обратившись к эмоциям. Это манипуляция, но может сработать. Второй, более честный путь — исправить модель. Изменения происходят медленно. Дискуссия о вреде курения заняла 40 лет, и это ещё простая дискуссия. Есть примеры посложнее. Я намекаю на то, что наша единственная надежда — информированность.
And I lied. Remember I said feeling, model, reality; reality doesn't change? It actually does. We live in a technological world; reality changes all the time. So we might have, for the first time in our species: feeling chases model, model chases reality, reality's moving -- they might never catch up. We don't know. But in the long term, both feeling and reality are important.
И я вас обманул. Вспомните, когда я рассказывал про ощущения, модель, реальность. Я сказал, что реальность не меняется. А она меняется. Мы живём в эпоху технологий — реальность постоянно меняется. И мы сталкиваемся, наверное, впервые в истории нашего вида, с тем, что ощущения следуют за моделью, модель следует за реальностью, реальность меняется — да, они могут никогда не встретиться. Сложно сказать. Но в долгосрочной перспективе важны и ощущения и реальность.
And I want to close with two quick stories to illustrate this. 1982 -- I don't know if people will remember this -- there was a short epidemic of Tylenol poisonings in the United States. It's a horrific story. Someone took a bottle of Tylenol, put poison in it, closed it up, put it back on the shelf, someone else bought it and died. This terrified people. There were a couple of copycat attacks. There wasn't any real risk, but people were scared. And this is how the tamper-proof drug industry was invented. Those tamper-proof caps? That came from this. It's complete security theater. As a homework assignment, think of 10 ways to get around it. I'll give you one: a syringe. But it made people feel better. It made their feeling of security more match the reality.
Я хочу завершить двумя короткими показательными историями. В 1982-м, не знаю, помните ли вы, в США была кратковременная суматоха по поводу отравленного Тайленола. Ужасная история. Кто-то взял бутылку Тайленола, добавил туда яд, упаковал заново и положил на прилавок. Кто-то другой купил и умер. Это вселило ужас в людей. Было ещё пару подобных случаев. Реальной опасности не было, но люди были напуганы. Это положило начало индустрии упаковок с защитой. Колпачки в защитном полиэтилене — они появились после этих случаев. Это типичная «игра в безопасность». Дома придумайте 10 способов обойти эту защиту. Я подскажу один — шприц. Но всё это дало людям ощущение безопасности. Это привело их ощущение безопасности к лучшему соответствию с реальностью.
Last story: a few years ago, a friend of mine gave birth. I visit her in the hospital. It turns out, when a baby's born now, they put an RFID bracelet on the baby, a corresponding one on the mother, so if anyone other than the mother takes the baby out of the maternity ward, an alarm goes off. I said, "Well, that's kind of neat. I wonder how rampant baby snatching is out of hospitals." I go home, I look it up. It basically never happens.
Последняя история. Несколько лет назад моя подруга рожала. Я приехал к ней в роддом. Оказывается, что сейчас, после родов на ребёнка надевается радио-браслет, и такой же надевается на маму, так что, если кто-либо кроме мамы выносит ребёнка из покоев, срабатывает сигнализация. Я подумал: «Ого, здорово! Интересно, а как часто детей крадут из роддомов?» Дома я это проверил. Это практически никогда не случается.
(Laughter)
Но если подумать,
But if you think about it, if you are a hospital, and you need to take a baby away from its mother, out of the room to run some tests, you better have some good security theater, or she's going to rip your arm off.
если вы в роддоме, и если вам нужно отлучить ребёнка от матери, например, чтобы взять какие-то анализы, вам лучше поиграть в безопасность, а то мама оторвёт вам голову.
(Laughter)
(Смех)
So it's important for us, those of us who design security, who look at security policy -- or even look at public policy in ways that affect security. It's not just reality; it's feeling and reality. What's important is that they be about the same. It's important that, if our feelings match reality, we make better security trade-offs.
Это важно для нас, для тех, кто придумывает меры безопасности, кто проверяет меры безопасности или просто правила поведения, относящиеся к безопасности. Это не только реальность, это ощущение и реальность. Важно, чтобы они совпадали. Важно, потому что, когда ощущения совпадают с реальностью, мы гораздо лучше делаем выборы в плане безопасности.
Thank you.
Спасибо за внимание.
(Applause)
(Аплодисменты)