Voici comment vous assurer que l’avertissement de missile d’Hawaï le fiasco n’est pas répété

Ceci est un post invité de Steve Bellovin, un professeur de la département d’informatique et faculté affiliée à l’école de droit à l’Université de Columbia. Ses recherches portent sur les réseaux, la sécurité, et politique publique. Ses opinions ne reflètent pas nécessairement les vues d’Ars Technica. EnlargeEUGENE TANNER / AFP / Getty Images

À ce jour, la plupart des gens ont entendu parler de la nouvelle ICBM erronée alerte à Hawaii. Il y a eu un examen minutieux de la façon dont l’alerte d’urgence système fonctionne et comment les tensions internationales et les temps de vol de les missiles peuvent mener à une guerre nucléaire accidentelle. Je voudrais me concentrer à la place, comment la conception des systèmes à Hawaii a conduit à ce problème – un conception que je soupçonne est reproduite dans de nombreux autres États.

Un des facteurs possibles, bien sûr, est la conception pressée:

“Nous avons passé les derniers mois à essayer de devancer cet ensemble. menace afin que nous puissions fournir autant de notification et temps de préparation au public “, a déclaré Miyagi.” J’accepte la responsabilité de cela, ceci est mon équipe, nous avons fait une erreur. ”

Mais les chances me paraissent très élevées que l’interface utilisateur soit simplement mis en œuvre par un programmeur Web, plutôt que d’être conçu par un spécialiste des facteurs humains.

Je ne doute pas que c’était une mauvaise interface. Comme le new york Times écrit:

Vern T. Miyagi, l’administrateur de l’agence, a déclaré que au cours de l’exercice, un employé – qu’il n’a pas identifié – à tort enfoncé un bouton sur un écran d’ordinateur pour envoyer l’alerte, plutôt qu’un marqué pour le tester. Il a dit que l’employé a répondu “oui” lorsque le système lui demande s’il est sûr de vouloir envoyer le message.

Tout d’abord, vous ne mettez pas le vrai bouton et le bouton de test sur le même menu. Deuxièmement, demander aux gens de simplement reconnaître qu’ils vouloir faire ce qu’ils viennent de demander à faire ne fonctionne tout simplement pas. Ceci est très bien connu; c’est même satirisé dans un Wiki W3C:

Boite de dialogue

Une fenêtre dans laquelle réside un bouton intitulé “OK” et une variété de texte et autre contenu que les utilisateurs ignorent.

Ce fut un exercice régulier de fin de quart. Un employé, heureusement sans nom, puisque ce n’est pas la faute de cette personne – un clic accidentel sur la mauvaise icône à l’écran, puis a fait ce qui était pratique normale: cliqué sur OK (ou peut-être tapé “oui”) à l’écran de confirmation, purement par habitude. Après tout, c’est exactement ce qu’il fallait faire à chaque changement de poste, mais cette fois-ci, le résultat a été d’accepter la mauvaise action.

Et encore une fois, ce n’était pas la faute de l’employé. Don Norman l’a dit bien:

Il est beaucoup trop facile de blâmer les gens lorsque les systèmes échouent. Le résultat est que plus de 75% de tous les accidents sont imputables à une erreur humaine. Réveiller les gens! Quand le pourcentage est aussi élevé, c’est un signal que quelque chose d’autre est en cause – à savoir, les systèmes sont mal conçu d’un point de vue humain.

Et bien sûr, en utilisant une interface utilisateur différente pour envoyer de vrais alertes risque une défaillance différente: en cas d’urgence réelle, les gens sont stressés, inquiets pour eux-mêmes, leurs familles, et (dans ce cas) la planète entière. La dernière chose que vous voulez est de doivent penser à quelque chose de nouveau et de différent; défaut d’envoyer un avertissement nécessaire a ses propres conséquences très graves. C’est pourquoi je dis qu’un tel design devrait être créé par un vrai humain expert en facteurs.

Il y a un autre problème ici au-delà du problème d’interface utilisateur: le système total. Une fois l’alerte envoyée, il n’y avait pas de moyen facile de annule ça. Il a fallu 38 minutes pour envoyer le message All Clear parce que des exigences de conception du système d’alerte, selon The Atlantic:

Les notifications IPAWS ont un format spécifique, qui doit être composé formellement et à l’avance. Les fichiers audio pour les avis de diffusion doivent être enregistré ou généré et téléchargé. Souvent, cela doit être fait par logiciel spécial sur équipement spécial.

Et les alertes aux utilisateurs sont limitées à 90 caractères, sans médias incorporés ou URL autorisés. Heureusement, cela est en train de changer. URL? Bien sûr, mais votre meilleur serveur Web pointe vers un très bon réseau de distribution de contenu (CDN), car environ 30 secondes après une alerte comme celle-ci est envoyée, vous allez avoir un très grand nombre de personnes qui cliquent ou tapent dessus. Le réseau de téléphonie cellulaire également besoin de beaucoup de bande passante, tant pour les clients que pour les utilisateurs. (probablement interne) CDN.

Donc: nous avons eu une mauvaise interface utilisateur qui a parlé à un inflexible système qui n’avait pas de message d’annulation préparé à l’avance et était destiné à un réseau qui avait des limitations très strictes sur ce il pourrait livrer aux utilisateurs finaux.

Hawaii a mis en place une authentification par deux personnes pour de vrai alertes. C’est bien, mais je me demande à quel point ils ont bien travaillé tester le nouveau code. Je préviens également que deux personnes peuvent être aussi habitués aux mêmes rituels de fin de quart qu’un seul. Ce qui est vraiment nécessaire est un examen approfondi et complet de l’ensemble démarrage du système avec, sans toutefois s’y limiter, l’utilisateur interface.

Annonce illustrée par Getty Images

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: