Шнайеру и Андерсону удалось убедить Алессандро Аккуисти и Джорджа Левенстейна (Alessandro Acquisti, George Loewenstein), поведенческих экономистов из Университета Карнеги-Меллона, помочь в организации семинара. Параллельно стали приглашать тех людей, чьи работы организаторы с интересом читали, заодно спрашивая у них, кого еще можно было бы позвать. В результате 42 участника встречи представили 35 докладов. Помимо экономистов и специалистов по компьютерной безопасности, в семинаре приняли участие представители серьезных государственных структур, а также иллюзионист[Нужно уточнить, что это был не просто иллюзионист, а Джеймс Рэнди, сегодня известный прежде всего как борец с мошенниками, спекулирующими на интересе к паранормальным явлениям. — Прим. ред.], профессиональный фотограф и архитектор[www.cl.cam.ac.uk/~rja14/]!
Ощущение и реальность
Тон встрече, вряд ли сам того желая, задал один из первых докладчиков, профессор информатики Пенсильванского университета Мэтт Блэйз (Matt Blaze). Свою речь о состоянии компьютерной безопасности он начал примерно такими словами: "В инфотехнологической области, которая за последние несколько десятилетий была отмечена грандиозными человеческими свершениями, наше направление не назовешь иначе как провалом".
Произнесенное устами авторитетного специалиста, такое признание невольно вызвало у собравшихся нервный смех. Однако в словах этих никакой шутки в общем-то не было. Несмотря на впечатляющие достижения технологий, подавляющее большинство компьютерных пользователей по сию пору довольствуется теми же неуклюжими процедурами безопасности, которые были в ходу несколько десятилетий назад. При этом многие чувствуют себя менее защищенными, чем прежде.
Безопасность (как подчеркнул во вступительной речи Брюс Шнайер) — это одновременно ощущение и реальность. Следует четко понимать, что чувствовать себя в безопасности и быть в безопасности — далеко не одно и то же. Давным-давно, когда язык только начинал развиваться, оба этих понятия, возможно, обозначали одну и ту же вещь. Однако в современных языках так и не появилось, к примеру, слова, означающего "быть в безопасности, но при этом не чувствовать себя безопасно".
Из-за существенных расхождений между реальной ситуацией и ее восприятием возникает масса проблем, потому что люди принимают решения на основе своих ощущений, а не реальности.
В теории уже имеется понимание, что всякое проектирование безопасности — по природе своей дело психологическое. Однако очень многие разработчики систем безопасности этот факт игнорируют. А укоренившиеся в сознании людей когнитивные предрассудки и предубеждения ведут к неверной оценке рисков. Хорошо известно, скажем, что в автомобили практически все люди садятся без страха, хотя жертв на дорогах гораздо больше, чем в небе. Напротив, в салоне авиалайнера многие чувствуют себя менее безопасно, чем это есть на самом деле. Другой созвучный пример — из Интернета. Знакомая всем пиктограмма ключика или замка в углу окошка браузера, обозначающая защищенный сеанс, заставляет людей чувствовать себя в большей безопасности, хотя сама по себе никакой гарантией она не является.
