Inilah cara memastikan peringatan rudal Hawaii kegagalan tidak terulang

Ini adalah posting tamu dari Steve Bellovin, seorang profesor di departemen ilmu komputer dan fakultas afiliasi di sekolah hukum di Universitas Columbia. Penelitiannya berfokus pada jaringan, keamanan, dan kebijakan publik. Pendapatnya tidak selalu mencerminkan pandangan dari Ars Technica. MemperbesarEUGENE TANNER / AFP / Getty Images

Sekarang, kebanyakan orang telah mendengar tentang ICBM yang masuk secara salah waspada di Hawaii. Telah ada pengawasan bagaimana peringatan darurat sistem bekerja dan bagaimana ketegangan internasional dan waktu penerbangan rudal dapat menyebabkan perang nuklir tidak disengaja. Saya ingin fokus alih-alih tentang bagaimana desain sistem di Hawaii menyebabkan masalah ini — a desain yang saya duga direplikasi di banyak negara bagian lain.

Salah satu faktor yang mungkin, tentu saja, adalah desain terburu-buru:

“Kami menghabiskan beberapa bulan terakhir mencoba untuk mengatasi semua ini ancaman sehingga kami dapat memberikan pemberitahuan dan waktu persiapan untuk umum, “kata Miyagi.” Saya menerima tanggung jawab untuk ini, ini tim saya, kami melakukan kesalahan. ”

Tapi peluang saya sangat tinggi dari antarmuka pengguna hanya diimplementasikan oleh programmer Web, daripada dirancang oleh spesialis faktor manusia.

Saya tidak ragu bahwa itu adalah antarmuka yang buruk. Sebagai The New York Times menulis:

Vern T. Miyagi, administrator agensi, mengatakan itu selama latihan, seorang karyawan — yang tidak ia identifikasi — salah menekan tombol pada layar komputer untuk mengirim peringatan dari satu yang ditandai untuk mengujinya. Dia mengatakan karyawan itu menjawab “ya” ketika ditanya oleh sistem apakah dia yakin dia ingin mengirim pesan.

Pertama, Anda tidak meletakkan tombol asli dan tombol tes di menu yang sama. Kedua, meminta orang untuk sekadar mengakui bahwa mereka ingin melakukan apa yang baru saja mereka minta dilakukan tidak berhasil. Ini sangat terkenal; itu bahkan disindir dalam W3C Wiki:

Kotak dialog

Jendela di mana terdapat tombol berlabel “OK” dan beragam teks dan konten lain yang diabaikan pengguna.

Ini adalah latihan biasa, akhir dari shift. Seorang karyawan — untungnya tidak disebutkan namanya, karena itu bukan kesalahan orang ini — tidak sengaja diklik pada ikon layar yang salah, lalu lakukan apa yang biasa dilakukan: mengklik OK (atau mungkin mengetik “ya”) ke layar konfirmasi, murni karena kebiasaan. Lagi pula, itulah yang harus dilakukan di setiap perubahan shift — hanya kali ini, hasilnya menerima tindakan yang salah.

Dan lagi, itu bukan kesalahan karyawan. Don Norman mengatakannya baik:

Terlalu mudah untuk menyalahkan orang ketika sistem gagal. Hasil adalah bahwa lebih dari 75 persen dari semua kecelakaan disalahkan atas kesalahan manusia. Bangun orang! Ketika persentasenya setinggi itu, itu adalah sinyal bahwa ada sesuatu yang salah — yaitu, sistemnya buruk dirancang dari sudut pandang manusia.

Dan tentu saja, menggunakan antarmuka pengguna yang berbeda untuk mengirim yang asli peringatan berisiko kegagalan yang berbeda: ketika keadaan darurat yang sebenarnya terjadi, orang stres, khawatir tentang diri mereka sendiri, keluarga mereka, dan (dalam hal ini) seluruh planet. Hal terakhir yang Anda inginkan adalah harus memikirkan sesuatu yang baru dan berbeda; kegagalan mengirim peringatan yang diperlukan memiliki konsekuensi sendiri yang sangat serius. Ini adalah mengapa saya mengatakan bahwa desain seperti ini harus dibuat oleh manusia nyata faktor ahli.

Ada masalah lain di sini selain masalah antarmuka pengguna: sistem total. Setelah peringatan dikirim, tidak ada cara mudah untuk melakukannya batalkan. Butuh 38 menit untuk mengirim pesan Hapus Semua karena persyaratan desain sistem waspada, per Atlantik:

Pemberitahuan IPAWS memiliki format tertentu, yang harus disusun secara formal dan di muka. File audio untuk pemberitahuan siaran harus direkam atau dihasilkan dan diunggah. Seringkali, ini harus dilakukan oleh perangkat lunak khusus pada peralatan khusus.

Dan peringatan kepada pengguna dibatasi hingga 90 karakter, tanpa media tertanam atau URL diizinkan. Untungnya, itu sedang diubah. URL? Tentu — tetapi server Web Anda lebih baik menunjuk ke yang benar-benar bagus jaringan distribusi konten (CDN), karena, sekitar 30 detik setelahnya peringatan seperti ini dikirim, Anda akan memiliki yang sangat besar jumlah orang yang mengklik atau mengetuknya. Jaringan telepon seluler akan membutuhkan banyak bandwidth, juga, untuk pelanggan dan (mungkin internal) CDN.

Jadi: kami memiliki antarmuka pengguna yang buruk yang berbicara dengan tidak fleksibel sistem yang tidak memiliki pesan pembatalan yang telah disiapkan sebelumnya dan sebelumnya diperuntukkan bagi jaringan yang memiliki batasan sangat ketat tentang apa itu bisa dikirimkan ke pengguna akhir.

Hawaii telah menerapkan otentikasi dua orang secara nyata peringatan. Itu bagus, meskipun saya bertanya-tanya seberapa bagus pekerjaan yang mereka lakukan menguji kode baru. Saya juga mengingatkan bahwa dua orang bisa sama terbiasa dengan ritual akhir shift yang sama seperti ritual. Apa yang sebenarnya Yang dibutuhkan adalah tinjauan menyeluruh, dari atas ke bawah dari keseluruhan memulai sistem dengan, tetapi tidak terbatas pada, pengguna antarmuka.

Cantumkan gambar menurut Getty Images

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: