Как стать автором
Обновить

Брюс Шнайер: Иллюзия безопасности

Время на прочтение 12 мин
Количество просмотров 45K
image
Брюс Шнайер не нуждается в представлениях. На Хабрахабре можно найти много статей, касающихся деятельности этого «гуру криптографии». Под катом — текстовая расшифровка видеолекции Брюса Шнайера «The security mirage» («Иллюзия безопасности»).
Эта лекция доступна на YouTube, на Amara её можно посмотреть с субтитрами на 28-ми языках (включая русский). Что же заставило меня отнимать твоё время, хабрачитатель?

С одной стороны на написание хабрапоста меня подвигла сложность материала (тяжело усваивать серьёзный текст в форме видеолекции). С другой стороны — неточности в переводе. С третьей — принцип «Sharing is Caring»: мне бы хотелось, чтобы с «Иллюзией безопасности» ознакомилось как можно больше людей.
Самой важной причиной была значимость лекции. Лично меня она зацепила. Вроде Шнайер говорит о понятных, само собой разумеющихся вещах. Но отдельные факты и наблюдения, собранные воедино, дают качественно новую картину. Лекция заставляет многое рассмотреть под непривычным углом. Она выходит далеко за пределы темы безопасности. В ней освещаются фундаментальные принципы формирования личного и общественного мнения, показаны способы и виды манипулирования им. Затронуты психологические основы интерпретации событий и решений, из которых по сути складывается наша жизнь.
Мне кажется, что прочесть/посмотреть/послушать «Иллюзию безопасности» будет полезно каждому.

Кстати, перевод на www.amara.org очень неплохой. Спасибо тем, кто над ним работал. Но текст не приспособлен для чтения. Как известно, во время живого общения большая часть информации передаётся невербальным путём: жесты, поза, мимика, интонация несут около 70% смысловой нагрузки. Поэтому расшифровку лекции я несколько приспособил для чтения. Сделал, так сказать, литературный перевод — в противовес «подстрочнику» субтитров.


Иллюзия безопасности: текст
Понятие безопасности включает в себя две разные вещи: ощущение и реальность. И они различаются! Вы можете чувствовать себя защищённым, даже если на самом деле это не так. И вы можете быть в безопасности, даже если не ощущаете этого.
На самом деле, два различных понятия соответствуют одному слову «безопасность». В этой лекции я хочу разделить их, разобраться, в чём их отличие, а в чём они похожи.

Начнём с проблемы терминологии.
У нас очень мало подходящих слов, чтобы выразить понятия, о которых сейчас пойдёт речь. Если посмотреть на безопасность с точки зрения экономики — это компромисс. Каждый раз, добиваясь большей безопасности, мы чем-то за это платим. Будь то личное решение (устанавливать ли сигнализацию в доме?), или решение национального масштаба (не завоевать ли какую-нибудь страну?) — нам приходится чем-то поступиться. Это могут быть деньги или время, удобство или возможности. Даже фундаментальные права. Вопрос, который стоит задать при решении любых проблем безопасности, не «насколько это эффективно против угрозы?», а «стоит ли оно того?» В последние годы много говорится о том, что мир стал безопаснее после отстранения Саддама Хусейна от власти. Может это и правда, но это не так уж важно. Вопрос в том, стоила ли овчинка выделки? Конечно, вы можете думать что угодно о войне в Ираке, но задумайтесь, оправдало ли себя вторжение?
Именно так нужно думать в области безопасности — в терминах компромисса. И речь часто не о том, что правильно, а что нет. Кто-то устанавливает дома сигнализацию, а кто-то — нет. Это зависит от места жительства, семейного положения, достатка, и того, насколько мы готовы принять риск кражи.
То же самое можно наблюдать в политике: сосуществование противоположных мнений.

Часто компромиссы в области безопасности затрагивают не только нашу защищённость, и я считаю это очень важным. Мы интуитивно «взвешиваем» преимущества и недостатки. Мы делаем этот выбор ежедневно: когда я вчера вечером решил закрыть дверь в гостиничном номере на все замки; или пока вы ехали сюда на машине; или мы едим в забегаловке потому что решаем, что еда здесь таки не отравлена… Мы делаем подобный выбор снова и снова, по многу раз в день. Часто мы этого даже не замечаем. Это просто часть жизни, часть жизни каждого из нас. Каждое живое существо делает это. Возьмём, к примеру, кролика в поле. Он мирно грызёт траву — и вдруг замечает лису. Перед кроликом встанет выбор: «оставаться или бежать?» И если подумать, кролики, которые умеют делать правильный выбор, останутся в живых и дадут потомство, а кролики, которые ошибаются, будут съедены или умрут от голода. Можно предположить, что как представители самого преуспевающего вида на этой планете, мы должны безошибочно решать подобные задачки. Однако практика снова и снова доказывает нашу неспособность это делать. Почему? Это фундаментальный и чрезвычайно любопытный вопрос. Я отвечу коротко: дело в том, что мы принимаем решения, основываясь на ощущении безопасности, а не на фактах. Как ни странно, в большинстве случаев это работает. Довольно часто ощущения и реальность совпадают. По крайней мере, так было в доисторическую эпоху. Эта наша способность была развита путём естественного отбора. Можно сказать, что мы приспособлены для принятия решений о рисках, которые относятся к жизни в небольших семейных группах на восточноафриканском плоскогорье сто тысяч лет до нашей эры. Но если взять современный Нью-Йорк, окажется, что здесь мы не столь уж приспособлены.

Есть разные предубеждения в восприятии риска. На эту тему проводилось много хороших экспериментов. И можно заметить, что определённые предубеждения встречаются раз за разом. Я перечислю четыре из них:
1. Мы склонны преувеличивать эффектные (излишне драматичные, «театральные», но при этом редкие) риски и преуменьшать повседневные риски: сравните авиаперелёты и вождение автомобиля.

2. Незнакомое воспринимается более рискованным, чем знакомое.
Например, многие боятся похищений незнакомцами, тогда как согласно данным, гораздо чаще похищения совершают родственники (речь о похищении детей).

3. Олицетворённые риски воспринимаются как более опасные, чем обезличенные риски — так бен Ладен становится страшнее, потому что у него есть имя.

4. Люди недооценивают риски в ситуациях им подконтрольных, и переоценивают риски в ситуациях, которые они не контролируют.
Как только вы начинаете прыгать с парашютом или курить, вы начинаете недооценивать риски. Когда же риск вам навязан — например как с терроризмом — вы его переоцените, потому что у вас нет ощущения контроля.

Есть целый ряд подобных искажений восприятия, которые влияют на принятие решений в рискованных ситуациях. Например, эвристика доступности, то есть, мы оцениваем вероятность события по тому, насколько легко вспомнить примеры таких событий. Попробуем представить это на примере. Если мы постоянно слышим о нападениях тигров — в округе должно быть много тигров. Если о нападениях львов ничего не слышно — львов поблизости мало.
Это работало пока не изобрели газеты. Потому что суть газет в том, что они раз за разом пишут о редких рисках. Я всегда говорю, что если об этом пишут в новостях — спите спокойно. Просто по определению новость — это то, что почти никогда не случается. Когда что-то становится обыденным, это больше не новость — автомобильные аварии, бытовые преступления — вот те риски, о которых нужно беспокоиться.

К тому же, люди — это рассказчики. Мы принимаем рассказы близко к сердцу, ближе, чем факты. Но при этом, мы, в общем-то, не умеем считать. Я имею в виду, что шутка про «один, два, три, много» отчасти справедлива. Мы очень хорошо понимаем небольшие числа. Одно яблоко, два яблока, три яблока. 10 000 яблок, 100 000 яблок — это намного больше яблок, чем можно съесть, прежде чем они сгниют. Т. е. половинка, четвертинка — это просто и понятно. Раз в миллион, раз в миллиард — это всё равно, что никогда. Поэтому нам сложно с рисками, которые не являются повседневными.

Так вот эти искажения восприятия работают как фильтры между нами и реальностью. И в результате, ощущение и реальность больше не совпадают, они начинают отличаться.
И вот тут либо вы ощущаете себя безопаснее, чем на самом деле (это ложное чувство безопасности), либо наоборот (и это ложное чувство опасности).

Я много пишу об «играх в безопасность», о тех мерах, которые внушают людям чувство защищённости, но реально ничего не дают. Не существует термина для мер, которые делают нас защищённее, но не дают чувства защищённости. Возможно, это то, чем обязаны заниматься в ЦРУ.

Но давайте вернёмся к экономике.
Если деньги, если рынок определяет меры безопасности, и если люди принимают решения, основываясь на чувстве защищённости, то самое умное, что может сделать компания, исходя из экономических соображений, — это дать людям чувство защищённости. И всегда есть два способа этого добиться.
Первый — можно реально защитить людей и надеяться, что они обратят внимание. Или второй — можно создать чувство защищённости и надеяться, что они не обратят внимания.

Что же заставляет людей обращать внимание?
Ряд вещей: понимание мер безопасности, рисков, угроз контрмер, и как всё это работает. Если вы в этом разбираетесь, то более вероятно, что ваши ощущения соответствует действительности.
Здесь хорошо работает жизненный опыт. Все мы знаем неблагополучные районы города, потому что мы тут живём, и в общих чертах наше чувство опасности совпадает с реальностью. «Игры в безопасность» вскрываются, когда становится очевидно, что меры безопасности не работают.

Итак, почему же люди не обращают внимания? Из-за непонимания. Если вы не понимаете риски, не понимаете, каковы издержки, вы склонны принять ошибочное решение, и ваше чувство безопасности не совпадает с реальностью. Из-за недостатка жизненного опыта. Эта проблема присуща маловероятным событиям. Например, если теракты случаются очень редко, то очень тяжело оценить эффективность контртеррористических мер. Вот почему вы продолжаете приносить в жертву девственниц, и такая «защита от единорога» прекрасно работает. Недостаточно примеров сбоев этих мер. К тому же, чувства затмевают разум: искажения восприятия, о которых я говорил раньше; страхи; народные поверья, которые основываются на неадекватной модели реальности.

Давайте усложним. Есть ощущение, и есть действительность. Добавим третий элемент. Добавим модель.

Ощущение и модель у нас в уме, реальность — это окружающий мир. Мир неизменчив, он настоящий. Итак, ощущение основано на интуиции. Модель основана на логических умозаключениях. Вот основная разница.
В примитивном и простом мире модель по сути не нужна. Потому что ощущение близко к действительности. Вам не требуется модель. Но в современном сложном мире нужны модели, чтобы понять большую часть рисков, с которыми мы сталкиваемся.
Мы не ощущаем бактерий. Нам нужна модель, чтобы понять, что такое бактерии. И эта модель является осмысленным представлением действительности. Конечно, она ограничена текущим уровнем развития науки, технологии. Мы не знали, что бактерии являются причиной болезней, пока не изобрели микроскоп, позволивший увидеть их. Модель ограничена искажениями нашего восприятия, но она даёт возможность корректировать ощущения.
Откуда же берутся модели? Мы заимствуем их у других. Мы находим их в религии и культуре, заимствуем у учителей и родителей.

Пару лет назад я был в Южной Африке на сафари. Сопровождавший меня егерь вырос в Национальном парке Крюгер. У него был ряд довольно сложных моделей для выживания. Они предусматривали случаи нападения львов и леопардов, носорогов, и слонов; когда нужно бежать, а когда — лезть на дерево, и когда лезть нельзя ни в коем случае. Я бы умер там в первый же день, но он там родился, и он знает, как там выжить. Я родился в Нью-Йорке. Я мог бы привезти его в Нью-Йорк, и он не выжил бы и дня. Потому что у нас разные модели, основанные на разном жизненном опыте.

Модели могут навязываться СМИ и чиновниками. Подумайте о модели терроризма, о похищениях детей, безопасности полётов, безопасности дорожного движения.
Модели могут навязываться индустрией. Я слежу за двумя из них: камерами наблюдения и удостоверениями личности. Довольно много моделей компьютерной безопасности берут начало отсюда.
Много моделей приходит из науки. Модели болезней — отличный пример. Например рак, птичий грипп, свиной грипп, атипичная пневмония. Наши ощущения опасности этих болезней берут начало в научных моделях, пропущенных через фильтр СМИ.

Итак, модели могут меняться. Модели не статичны. По мере привыкания к среде, наши модели могут приблизиться к нашим ощущениям.
Например, если вернуться на сто лет назад, когда электричество только входило в обиход, ему сопутствовало много страхов. Люди буквально боялись нажимать на дверной звонок, потому что он работал на электричестве, а оно воспринималось как опасность.
Для нас электричество обыденно. Мы меняем лампочки, даже не задумываясь о нём. Наша модель безопасности электричества — это то, с чем мы родились. Оно не менялось пока мы взрослели. И нам с ним легко.
Или, например, восприятие разными поколениями рисков в интернете: как старшее поколение понимает безопасность в интернете — в сравнении с тем, как её воспринимаете вы, и как её будут понимать ваши дети.

Рано или поздно модели уходят на задний фон. Интуитивно-понятный — это то же, что и знакомый. Когда модель близка к действительности и совпадает с ощущениями, мы перестаём её замечать. Красивый пример — прошлогодняя эпидемия свиного гриппа. Когда свиной грипп только появился, первые новости вызвали чрезмерную реакцию. Ему дали имя, что сделало его страшнее обычного гриппа (при том, что обычный грипп более опасный). И люди считали, что медики должны что-то сделать. Возникло то самое ощущение бесконтрольности. Сочетание этих двух факторов вызвало переоценку угрозы свиного гриппа. Прошли месяцы, новизна пропала — и люди к нему привыкли, «притерпелись». Новых данных не поступало, но страх снижался. К осени люди думали, что медики уже решили эту проблему.
Была некая «точка бифуркации» — люди стояли перед выбором между страхом и признанием (на самом деле, между страхом и безразличием), и они отчасти выбрали подозрительность. И когда прошлой зимой появилась вакцина, много людей (поразительно много) отказалось сделать прививку. Прекрасный пример того, как меняется ощущение опасности, и как меняются соответствующие модели — непредсказуемо, даже без новой информации, даже без новых данных.
Подобное происходит довольно часто.

Усложним ещё раз.
Есть ощущения, модель, реальность. У меня релятивистские взгляды на безопасность. Я считаю, что она зависит от наблюдателя. В большинство решений в области безопасности вовлечены разные люди. И влиятельные игроки, связанные взаимовыгодными соглашениями, будут пробовать влиять на решение. Я называю это их секретным планом.

Видите ли, план (а это и маркетинг, и политика) в том, чтобы убедить вас иметь конкретную модель — в ущерб остальным. Или в том, чтобы убедить проигнорировать модель и довериться чувствам. Или в вытеснении из вашего поля зрения людей, чьи модели вам «не подходят».
Это не такая уж редкость. Отличный пример — вред от курения. Последние 50 лет показали, как меняется восприятие вреда от курения, и как табачная промышленность борется против модели, которая ей не нравится.
Сравните это с дискуссией о вреде пассивного курения примерно 20-летней давности. Вспомните о ремнях безопасности. Когда я был ребёнком, никто не пристёгивался. Сегодня ни один ребёнок не даст вам поехать если вы не пристегнули ремень.
Сравните это с обсуждениями подушек безопасности примерно 30-летней давности.
Всё это примеры изменяющихся моделей.

Что мы узнали, так это то, что менять модели сложно. Модели сложно вытеснить. А если они совпадают с ощущениями, то вы даже не знаете, что пользуетесь моделью.

Есть и другое когнитивное искажение. Я называю его предвзятость подтверждения: склонность признавать информацию, которая соответствует нашим убеждениям — и отвергать данные, противоречащие нашим представлениям.
Так, факты, не вписывающиеся в нашу модель, мы скорее всего проигнорируем, даже если они убедительны. И чтобы мы обратили на них внимание, понадобятся очень веские причины.

Особенно сложны новые модели с долгосрочными последствиями. Глобальное потепление — отличный пример. Мы становимся двоечниками, когда речь идёт о моделях с продолжительностью в 80 лет. Мы можем дотянуть до следующего урожая. Мы можем спланировать семью и вырастить детей. Но 80 лет — это для нас слишком сложно. Именно поэтому подобную модель так трудно принять.
Мы можем одновременно иметь противоречащие друг другу модели. Такое часто называют когнитивный диссонанс. Но рано или поздно новая модель заменит старую.

Сильные переживания могут создать модель. Теракт 11-го сентября создал новую модель безопасности в умах многих людей. Также создать модель могут столкновения с преступностью, угроза здоровью, страшные новости об эпидемиях. Такие события психиатры называют события-вспышки. Они могут создать модель мгновенно, потому что они очень эмоциогенны.
В технологическом мире у нас нет опыта для оценки моделей. И мы полагаемся на суждение других. Мы полагаемся на посредников. Я имею в виду, это работает, пока кто-то не внесёт поправку.
Мы полагаемся на Минздрав в решениях о безопасности лекарств. Я вчера прилетел сюда. Я не проверял самолёт лично. Я доверил кому-то другому проверить безопасность моего самолёта.
В этом зале никто не боится, что крыша рухнет, не потому что мы лично проверили, а потому что мы знаем, что местные строительные стандарты надёжны. Это лишь одна из моделей, которые мы принимаем на веру. И это нормально.

Чего мы хотим, так это, чтобы люди обучались наилучшим моделям и приводили свои чувства в соответствие с этими моделями, что позволит им делать правильный выбор. Когда же модель перестаёт работать, у вас есть два варианта:
1. Можно исправить ощущения людей, напрямую обратившись к эмоциям. Это манипуляция, но может сработать.
2. И более честный путь — исправить модель.

Изменения происходят медленно. Прения о вреде курения длятся 40 лет, и это ещё более-менее простое обсуждение.
Есть примеры посложнее. Я намекаю на то, что наша единственная надежда — информированность.

И я вас обманул!

Вспомните, когда я рассказывал про ощущения, модель, реальность. Я сказал, что реальность не меняется. А она меняется.
Мы живём в эпоху технологий — реальность постоянно меняется. И мы сталкиваемся, наверное впервые в истории нашего вида, с тем, что ощущения следуют за моделью, а модель следует за реальностью. И если реальность изменится, они могут так и не догнать друг дружку.
Сложно сказать… Но в долгосрочной перспективе важны и ощущения и реальность.

Я хочу завершить двумя короткими показательными историями.
В 1982-м, не знаю, помните ли вы, в США была кратковременная эпидемия отравлений тайленолом. Ужасная история. Кто-то взял бутылку тайленола, добавил туда яд, затем запаковал и положил обратно на прилавок. Кто-то другой купил и умер. Это вселило ужас в людей. Было ещё пару подобных случаев. Реальной опасности не было, но люди были напуганы. Это положило начало индустрии упаковок с индикацией вскрытия. Колпачки в защитном полиэтилене (гарантированная укупорка) появились после этих случаев.
Это типичная «игра в безопасность». Дома придумайте 10 способов обойти эту защиту. Я подскажу один из них: шприц.
Но это заставило людей чувствовать себя лучше. Это заставило их чувство безопасности больше соответствовать действительности.

Последняя история. Несколько лет назад моя подруга рожала. Я приехал к ней в роддом. Оказывается, сейчас после родов на ребёнка надевается RFID браслет, и аналогичный выдаётся матери. Так что, если кто-либо кроме мамы выносит ребёнка из родильной палаты, срабатывает сигнализация.
Я подумал: «Ого, здорово! Интересно, а как часто детей крадут из роддомов?»
Дома я это проверил. Это практически никогда не случается. Но если подумать, если вы в роддоме, и если вам нужно унести ребёнка от матери (например, чтобы взять какие-то анализы) вам лучше поиграть в безопасность, а то мама оторвёт вам голову.

Это важно для нас, для тех, кто придумывает меры безопасности, кто проверяет меры безопасности или просто правила поведения, относящиеся к безопасности.
Это не только реальность, это ощущение и реальность. Важно, чтобы они совпадали.
Важно потому, что, когда ощущения совпадают с реальностью, мы гораздо лучше делаем выборы в плане безопасности.

Спасибо за внимание.

Иллюзия безопасности: видео
Для тех, кто всё же захочет посмотреть лекцию, я залил архив с видео и субтитрами (англ., рус.). Русские сабы немного исправлены. И те, и другие подогнаны под видеоряд.

Теги:
Хабы:
+74
Комментарии 25
Комментарии Комментарии 25

Публикации

Истории

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн