H ανάλυση των απαιτήσεων που αφορούν στην ασφάλεια των πληροφοριών στο σύγχρονο περιβάλλον, ενισχύουν την ανάγκη μιας νέας ολιστικής προσέγγισης, που ονομάζουμε Information Resilience

 

 Του Νότη Ηλιόπουλου

MSc InfoSec, MSc MBIT, CISA, CISM, ISO27001 LA

Director, GRC & Assurance Service at ADACOM.

 

 

Το δυναμικά μεταβαλλόμενο επιχειρηματικό &  τεχνολογικό περιβάλλον

Το συνεχώς μεταβαλλόμενο επιχειρηματικό περιβάλλον και η αυξανόμενη εξάρτησή του από τη τεχνολογία, δημιουργεί «νέες πηγές ενεργοποίησης» αδυναμιών ψηφιακής ασφάλειας και ασφάλειας των πληροφοριών. Η νέα ψηφιακή πραγματικότητα, επηρεάζει σημαντικά τη βιωσιμότητα και την ανθεκτικότητα των Οργανισμών (enterprise resilience), αφού εκτός από τη προστασία των δεδομένων, απειλείται εν γένει και η ασφαλής και αξιόπιστη λειτουργία τους. Η Ασφάλεια Πληροφοριών καλείται να αφουγκραστεί τις νέες και μελλοντικές ανάγκες και να μεταλλαχθεί σε αυτό που από πάντα έπρεπε να είναι, μια ολιστική και αποτελεσματική διεργασία διαχείρισης των κινδύνων που αφορούν στη προστασία των πληροφοριών όπου και αν αυτές βρίσκονται, ακόμα και εκτός των ψηφιακών και πραγματικών ορίων ενός οργανισμού.

Να αναλύσουμε όμως το δυναμικά μεταβαλλόμενο σημερινό επιχειρηματικό περιβάλλον, έτσι ώστε να καταλάβουμε την αναγκαιότητα αλλά και το σκοπό τον οποίο καλείται να υπηρετήσει η ασφάλεια των πληροφοριών. Οι σημερινές επιχειρηματικές αναγκαιότητες αφορούν στα ακόλουθα:

  • Ψηφιακός μετασχηματισμός
  • Καινοτομία και ανάπτυξη κυρίως μέσω του ψηφιακού μετασχηματισμού
  • Οικονομία χωρίς σύνορα μέσω πλατφορμών και συνεργασιών για την από κοινού ανάπτυξη υπηρεσιών/προϊόντων
  • Κουλτούρα επιχειρηματικής βιωσιμότητας και ανθεκτικότητας (enterprise resilience), η οποία αφορά στην ετοιμότητα του οργανισμού να ανταπεξέλθει και να λειτουργήσει σ’ ένα περιβάλλον που συνεχώς αλλάζει

Πως όμως το νέο αυτό περιβάλλον, που αναμένεται να είναι ο κανόνας για τα επόμενα χρόνια, επηρεάζει & επηρεάζεται από τον ψηφιακό κόσμο. Το γεγονός είναι ότι πολλές από τις λειτουργικές και παραγωγικές διεργασίες των οργανισμών τείνουν να αυτοματοποιηθούν πλήρως κάνοντας χρήση ψηφιακών τεχνολογιών. Στο νέο επιχειρηματικό τοπίο παρατηρούμε να λαμβάνουν χώρα τα εξής:

  • Ανάλυση δεδομένων μεγάλου όγκου με σκοπό τη εξαγωγή συμπερασμάτων που θα συμβάλουν στην εύρεση του ανταγωνιστικού πλεονεκτήματος ή θα διαμορφώσουν αποτελεμστικότερες εσωτερικές διαδικασίες
  • Ρομποτικός αυτοματισμός διαδικασιών (Robotic Process Automation) με σκοπό τον αυτοματισμό λειτουργικών διαδικασιών βάση συγκεκριμένων συνθηκών, χωρίς την παρουσία του ανθρώπινου παράγοντα στο κομμάτι της λήψης αποφάσεων ή κατά τη εντολή έναρξης μιας διαδικασίας
  • Δίκτυα που αποτελούνται από αισθητήρες και άλλες ηλεκτρικές και ηλεκτρονικές συσκευές (Internet of Things) και μηχανισμούς (π.χ. Εξοπλισμός φυσικής ασφάλειας, κεντρικό έλεγχος κλιματισμού)
  • Σύγκλιση του περιβάλλοντος βιομηχανικής τεχνολογίας & τεχνολογίας παραγωγής (Operational Technology) και τεχνολογία της ψηφιακής πληροφορίας (IT)

Όλα τα παραπάνω διαμορφώνουν ένα πιο διασυνδεδεμένο και ολοκληρωμένο περιβάλλον, στο οποίο επιτυγχάνεται η σύγκλιση του ψηφιακού, εικονικού και φυσικού κόσμου. Σ’ ένα τέτοιο περιβάλλον, οι απειλές που αφορούν στην ασφάλεια των πληροφοριών, υπερβαίνουν τις τυπικές απειλές που προκύπτουν από τη λειτουργία των πληροφοριακών συστημάτων. Οι απαιτήσεις κανονιστικής συμμόρφωσης αφορούν και γίνονται πιο εξειδικευμένες σε τοπικό επίπεδο και πλέον αφορούν και στις Κρίσιμες Υποδομές. Η τεχνολογία γίνεται κινητήριος μοχλός για την καινοτομία και την ανάπτυξη. Τα περιστατικά ασφάλειας πληροφοριών, πλέον, επηρεάζουν σημαντικά τη βιωσιμότητα και την ανθεκτικότητα των επιχειρήσεων, με αποτέλεσμα η «ad hoc» προσέγγιση όσον αφορά στη διαχείριση του κινδύνου να δημιουργεί περισσότερους κινδύνους.

Οι πληροφορία πλέον, αντιμετωπίζεται ως πραγματικό περιουσιακό στοιχείο και ως σημαντικό συστατικό της καινοτομίας και της ανάπτυξης. Ταυτόχρονα η ασφάλεια των ψηφιακών υποδομών είναι αναγκαία για τη μεγιστοποίηση της αξιοπιστίας των ψηφιακών μηχανισμών που υποστηρίζουν λειτουργικές διεργασίες αλλά και διεργασίες φυσικής ασφάλειας.

Η Ασφάλεια Πληροφοριών χρειάζεται πλέον να μετεξελιχθεί σε μία ολιστική διεργασία διαχείρισης των κινδύνων που αφορούν στην προστασία των πληροφοριών όπου και αν αυτές βρίσκονται, καθώς και στην προστασία της αξιοπιστίας του ψηφιακού λειτουργικού περιβάλλοντος. Η νέα προσέγγιση ονομάζεται Information Resilience και καλείται να υποστηρίξει και να αποτελέσει αναπόσπαστο συστατικό της προσπάθειας των οργανισμών για επίτευξη της επιχειρηματικής βιωσιμότητας και ανθεκτικότητας (enterprise resilience).

Οι σύγχρονες απαιτήσεις για την ασφάλεια των πληροφοριών και των ψηφιακών πόρων

Οι επαγγελματίες της Ασφάλειας πληροφοριών οφείλουν να κατανοήσουν τις ανάγκες του νέου επιχειρηματικού περιβάλλοντος. Η ασφάλεια πληροφοριών θεωρείται πλέον ως ένα σημαντικό συστατικό της βιωσιμότητας μιας εταιρείας και αυτό έχει γίνει κατανοητό από το ανώτερο Διοικητικό  επίπεδο των οργανισμών, ίσως περισσότερο και από την αντίστοιχη κατανόηση των Επαγγελματιών της Ασφάλειας Πληροφοριών.

Επίσης σημαντικό είναι να κατανοήσουμε ότι η ανάπτυξη των επιχειρήσεων θα έρθει μέσα από συνεργασίες για την από κοινού υλοποίηση νέων προϊόντων και υπηρεσιών, από την ανάλυση μεγάλου όγκου δεδομένων (με σκοπό την ουσιαστικότερη κατανόηση των αναγκών των πελατών) και μέσα από τη καινοτομία, η οποία επιζητείται με άξονα το ψηφιακό μετασχηματισμό. Τα παραπάνω συμπαρασύρουν ροή δεδομένων μεταξύ συνεργαζόμενων οργανισμών και χρήση της τεχνολογίας οπουδήποτε είναι εφικτό. Επίσης συνεπάγεται γρήγορη υιοθέτηση και χρήση νέων τεχνολογιών οι οποίες αυτοματοποιούν βασικές λειτουργικές διεργασίες των οργανισμών.

Με το τρόπο αυτό η ασφάλεια των πληροφοριών συγκαταλέγεται στις περιοχές αυξημένου επιχειρηματικού κινδύνου που πρέπει να διαχειριστεί ένας οργανισμό

Σε μια ολιστική προσέγγιση για την  ασφάλεια των πληροφοριών οφείλουμε να λάβουμε υπ’ όψη μας πληροφορίες και συστήματα ανεξάρτητα από το σκοπό που αυτά εξυπηρετούν, όπου και αν βρίσκονται, όποια τεχνολογία και αν πρεσβεύουν. Συστήματα τα οποία χρησιμοποιούνται για τη διαχείριση βιομηχανικών διεργασιών και διεργασιών παραγωγής, είναι πλέον συστήματα που κατά μεγάλο ποσοστό είναι πανομοιότυπα με τα οικεία μας συστήματα πληροφορικής και συνυπάρχουν στο ίδιο εταιρικό δίκτυο με τα υπόλοιπα Π.Σ. Επίσης, συστήματα διαχείρισης της φυσικής ασφάλειας και προστασίας, καθώς και συστήματα που διαχειρίζονται φωτισμό, κλιματισμό, ανελκυστήρες και parking, έχουν υιοθετήσει οικείες μας τεχνολογίες & γνωστά πρωτόκολλα.

Οδηγούμαστε σε μια υβριδική/συνδυαστική μορφή εκμετάλλευσης αδυναμιών ασφάλειας οι οποίες προέρχονται από διαφορετικά περιβάλλοντα και τεχνολογίες μέσα στον ίδιο οργανισμό. Οι απειλές της ασφάλειας των πληροφοριών υπερβαίνουν τις τυπικές απειλές που έχουν ως στόχο την Εμπιστευτικότητα, Ακεραιότητα και διαθεσιμότητα των πληροφοριών και επιπρόσθετα αφορούν στη αξιοπιστία & ανθεκτικότητά πληροφοριών και ψηφιακών συστημάτων που αυτοματοποιούν διάφορες λειτουργικές, ελεγκτικές και παραγωγικές διεργασίες των οργανισμών.

Να αναφέρουμε μερικά παραδείγματα σχετικά με το τι μπορεί να αποφέρει η υβριδική/συνδυαστική μορφή εκμετάλλευσης αδυναμιών ασφάλειας:

  • Εξουδετέρωση συναγερμών και ειδοποιήσεων (alarms & alerts) που αφορούν σε ετερόκλητα συστήματα π.χ. διαχείρισης της φυσικής ασφάλειας και προστασίας,
  • Δημιουργία ψευδών αντιλήψεων / αντιπερισπασμό
  • Δημιουργία ψεύτικών στοιχείων ταυτοποίησης που αφορούν στη φυσική πρόσβαση αλλά και σε εφαρμογές διαχείρισης συστημάτων, αισθητήρων κλπ
  • Παρείσδυση σε συστήματα διαχείρισης υποδομών: δημιουργώντας άμεση διακοπή ή ζημιά στην ηλεκτρική ενέργεια, ανελκυστήρες, συναγερμούς πυρκαγιάς και ακόμη και ζημιά στα συστήματα παραγωγής

Επίσης ενδιαφέρον είναι να δούμε τα συστήματα που διαχειρίζονται φυσικές εγκαταστάσεις, και έξυπνες συσκευές ή αισθητήρες. Τα συγκεκριμένα συστήματα πλέον λειτουργούν όπως και τα γνωστά μας συστήματα πληροφορικής. Συλλέγουν δεδομένα, επικοινωνούν μέσω δικτύων tcp/ip, είναι συνδεδεμένα στο εταιρικό δίκτυο (και ίσως αυτό να μην είναι γνωστό στην υπόλοιπη εταιρεία) και πολλές φορές η διαχείρισή τους γίνεται από εξωτερικούς συνεργάτες και φυσικά όπως όλα ψηφιακά συστήματα & τεχνολογίες έχουν αδυναμίες ασφάλειας πληροφοριών.

Οι σύγχρονες απαιτήσεις για την ασφάλεια των πληροφοριών ολοκληρώνονται με την ανάλυση των διαφόρων ερευνών σχετικά με τις αιτίες που οδηγούν σε συμβάντα παραβίασης της ασφάλειας πληροφοριών και ψηφιακών συστημάτων. Οι κοινές συνιστώσες των περισσοτέρων ερευνών είναι οι ακόλουθες:

  • Οι επιθέσεις γίνονται από εξωτερικούς και οργανωμένους επιτήδειους, οι οποίοι εκμεταλλεύονται ήδη γνωστές αδυναμίες και κενά ασφάλειας
  • Ο ανθρώπινος παράγοντας και η παραπλάνησή του ή η αμέλειά του παίζουν μεγάλο ρόλο
  • Όλοι οι οργανισμοί αποτελούν υποψήφια θύματα, ανεξαρτήτως του μεγέθους τους. Αυτό που μετράει είναι η αλλά με τη κρισιμότητα των πληροφοριών και η χρησιμότητα που θα έχουν σε όσους τις αποκτήσουν.
  • Οι επιθέσεις γίνονται στοχευμένα και με συγκεκριμένο σκοπό και εύρος κάθε φορά.
  • Η πλειονότητα των επιθέσεων εντοπίζεται μετά από μήνες
  • Όσον αφορά στη χώρα μας, από δικές μας αναλύσεις τα τελευταία 8 χρόνια, προκύπτει ότι ακόμα δεν εφαρμόζουμε αποτελεσματικά τα βασικά.

Information Resilience

H παραπάνω ανάλυση των απαιτήσεων που αφορούν στην ασφάλεια των πληροφοριών στο σύγχρονο περιβάλλον, ενδυναμώνουν το επιχείρημα για την ανάγκη μιας νέας ολιστικής προσέγγισης, η οποία θα ενδυναμώνει τη προσπάθεια του κάθε οργανισμού για επιχειρηματική Ανθεκτικότητα και Βιωσιμότητα, Ψηφιακό μετασχηματισμό, Καινοτομία και θα υποστηρίζει την οικονομία της συν-εργατικότητας.

Οι βασικές συνιστώσες μιας τέτοιας προσέγγισης είναι οι ακόλουθες:

  • Ολιστική προσέγγιση στην διαχείριση των κινδύνων
  • Στο κέντρο του ενδιαφέροντος είναι η πληροφορία όπου και αν αυτή βρίσκεται και σε όποια τεχνολογία και αν αποθηκεύεται ή επεξεργάζεται.
  • Ετοιμότητα για απόκριση σε οποιαδήποτε κατάσταση μπορεί να μειώσει το επίπεδο ασφάλειας
  • Προστασία της πληροφορίας ακόμα και όταν αυτή βρίσκεται εκτός του Οργανισμού

Η νέα προσέγγιση θα πρέπει να είναι ολιστική και να βασίζεται στους παρακάτω άξονες:

Α) Στις βασικές αρχές της Ασφάλειας πληροφοριών- Εμπιστευτικότητα, Ακεραιότητα και Διαθεσιμότητα – προστίθεται η Ανθεκτικότητα και η Αξιοπιστία, οι οποίες είναι συνυφασμένες με την αυτοματοποίηση των λειτουργικών διεργασιών και τον ψηφιακό μετασχηματισμό.

Β) Ανάγκη ν’ αλλάξει και η θεώρηση ότι η ασφάλεια των πληροφοριών υλοποιείται μέσα από μία συνεχή και επαναλαμβανόμενη διεργασία. Το νέο τοπίο απαιτεί δύο συνεχόμενες διεργασίες οι οποίες αφορούν στα ακόλουθα:

  • Υιοθέτηση των δικλείδων ασφάλειας που αφορούν στον οργανισμό, οι οποίες προκύπτουν από μια ολιστική μεθοδολογία αξιολόγησης κινδύνων και στη συνέχεια τίθενται σε εφαρμογή μέσω ενός πλαισίου διακυβέρνησης για τη προστασία των πληροφοριών και των ψηφιακών δομών. Η πρώτη αυτή διεργασία περιλαμβάνει και τη συνεχή εγρήγορση και ευαισθητοποίηση των εργαζομένων σχετικά με το ρόλο τους ως προς τη προστασία των πληροφοριών αλλά και τους κινδύνους που υπάρχουν.
  • Αποτελεσματική λειτουργία των δικλείδων ασφάλειας και συνεχής βελτίωση τους. Η εν λόγω διεργασία αφορά στη μεγιστοποίηση της αποτελεσματικότητας της ασφάλειας πληροφοριών, της συνεχούς βελτίωσής της, καθώς και στην απόκριση σε οποιοδήποτε γεγονός ή κατάσταση που μπορεί να μειώσει ή να παραβιάσει το απαιτούμενο επίπεδο ασφάλειας πληροφοριών.

Η νέα ολιστική προσέγγιση που αφορά στην ασφάλεια των πληροφοριών και η υλοποίηση των παραπάνω δύο συνεχόμενων διεργασιών, στηρίζεται και εξαρτάτε από τρείς σημαντικές αλλαγές στη νοοτροπία και στο τρόπο που λειτουργεί η ασφάλεια των πληροφοριών σε κάθε οργανισμό. Οι αλλαγές αυτές προσδιορίζονται από τις λέξεις Υιοθέτηση, Αποτελεσματικότητα και Απόκριση.

Υιοθέτηση

Υιοθέτηση και όχι απλά υλοποίηση των δικλείδων ασφάλειας, με ολιστική προσέγγιση. Σχεδιασμός και υλοποίηση της στρατηγικής για την ασφάλεια των πληροφοριών με βάση τη γενική στρατηγική του κάθε οργανισμού, το συγκεκριμένο προφίλ κινδύνων αλλά και όλες τις απαιτήσεις συμμόρφωσης (απαιτήσεις που συμπεριλαμβάνουν και απαιτήσεις από σύναψη συνεργασιών με τρίτους αλλά και συμμόρφωση με τις πολιτικές του ίδιου του οργανισμού).

Σε μια ολιστική προσέγγιση κάποιες από τις πολιτικές και τις διαδικασίες για την ασφάλεια των πληροφοριών ενσωματώνονται σε ευρύτερα συστήματα διαχείρισης και ευρύτερες πολιτικές και διαδικασίες του οργανισμού, (π.χ. Διαχείριση κρίσιμων περιστατικών, διαχείριση προσβάσεων διαχείριση αλλαγών κτλ) μιας και η προστασία των πληροφοριών δεν είναι αυτοσκοπός αλλά ένα ακόμα όπλο στη προσπάθεια για επιχειρηματική βιωσιμότητα.

Οι κανόνες που αφορούν στην ασφάλεια των πληροφοριών χρειάζεται να ενσωματωθούν στις επιχειρηματικές διεργασίες, π.χ. προμήθειες, διαχείριση προσωπικού, εκπαίδευση, διαχείριση εξωτερικών συνεργατών, ανάπτυξη νέων υπηρεσιών, διαχείριση τεχνολογίας από επιχειρηματικές μονάδες διαφορετικές της πληροφορικής.

Οι κίνδυνοι ασφάλειας των πληροφοριών πρέπει να προσδιορίζονται ολιστικά και να λαμβάνουν υπόψη τους διαφορετικούς τύπους ασκήσεων αξιολόγησης κινδύνου.

Είναι επίσης σημαντικό η αξιολόγηση και διαχείριση κινδύνων να εναρμονιστεί με την ευρύτερη διεργασία για τη διαχείριση των επιχειρηματικών κινδύνων, έτσι ώστε η εκτίμηση του κινδύνου να γίνεται με κριτήρια που αφορούν στο σύνολο του οργανισμού και να λαμβάνει υπ’ όψη του τον επιχειρηματικό αντίκτυπο σε σχέση με την απώλεια του απαιτούμενου επιπέδου προστασίας των πληροφοριών.

Η συνεχής παρακολούθηση της αποτελεσματικότητας των δικλείδων ασφάλειας μέσα από μία διαδικασία συνεχούς παρακολούθησης του κινδύνου.

 Αποτελεσματικότητα

Η αποτελεσματικότητα του όλου οικοδομήματος παρακολουθείται και ενισχύεται μέσα από μία διαδικασία συνεχούς βελτίωσης. Η εν λόγω διαδικασία χρησιμοποιείται να αποτυπώσει τις ανάγκες για βελτίωση, για προτεραιοποίηση των σχετικών επενδύσεων, και για τον εντοπισμό περιοχών που χρειάζονται περισσότερη προσοχή ως προς την αποτελεσματικότητα των δικλείδων ασφάλειας που εφαρμόζονται.

Πρόκειται για την προσέγγιση της διεργασίας βελτίωσης ολιστικά, μέσω «τομέων / θεματικών περιοχών» (domains) της ασφάλειας πληροφοριών που αντιμετωπίζουν ολιστικά συγκεκριμένες ενότητες αναγκών. Για παράδειγμα αντιμετωπίζουν ολιστικά τη βελτίωση όλων των πτυχών της διαχείρισης των περιστατικών ασφάλειας, όλες τις πτυχές του ελέγχου πρόσβασης των χρηστών, όλες τις πτυχές της διαχείρισης κινδύνου, όλες τις πτυχές της διαρροής κρίσιμων δεδομένων. Αντιμετωπίζουν δηλαδή το πρόβλημα σε όλα τα επίπεδα και όχι μέρος του προβλήματος.

Πρόκειται για τη βελτίωση του οτιδήποτε σχετίζεται με τη προστασία κρίσιμων πληροφοριών, ανεξάρτητα από τη τεχνολογία, τα ενδιαφερόμενα μέρη και τις οργανωτικές δομές. Βελτίωση όλων των διαδικασιών και όλων των τεχνολογικών και διαχειριστικών δικλείδων ασφάλειας που αφορούν στη παρακολούθηση, πρόληψη και ανίχνευση, του οτιδήποτε μπορεί να μειώσει το απαιτούμενο επίπεδο ασφάλειας των πληροφοριών, συμπεριλαμβανομένου του ανθρώπινου παράγοντα και της εταιρικής κουλτούρας.

 Απόκριση & ετοιμότητα

Η απόκριση και η ετοιμότητα για αντιμετώπιση οποιουδήποτε είδους περιστατικού που ενδέχεται να επηρεάσει την προστασία των πληροφοριών και να μειώσει το απαιτούμενο επίπεδο ασφάλειας.

Δεν πρόκειται για την αντιμετώπιση περιστατικών που αφορούν μόνο στις απόπειρες παρείσδυσης, αλλά και στην αντιμετώπιση οργανωτικών και τεχνολογικών αλλαγών, αλλαγών στα επιχειρηματικά μοντέλα και στρατηγικές, καθώς και για την απόκριση στις αλλαγές στο ευρύτερο τοπίο των απειλών, καθώς και κοινωνικές και πολιτιστικές αλλαγές.

 

Υλοποίηση και εφαρμογή της προσέγγισης Information Resilience

Η εφαρμογή της νέας προσέγγισης Information Resilience, απαιτεί τη δημιουργία ενός πλαισίου ολιστικής προσέγγισης για την ασφάλεια πληροφοριών και προστασία της πληροφορίας όπου και αν αυτή βρίσκεται. Το πως ο κάθε οργανισμός θα δομήσει το συγκεκριμένο πλαίσιο, εξαρτάται από το επιχειρηματικό και τεχνολογικό περιβάλλον στο οποίο έχει επιλέξει να λειτουργεί. Επίσης, εξαρτάται από το βαθμό ωριμότητας, την κουλτούρα και την προσέγγιση του κάθε οργανισμού που αφορά στην Επιχειρηματική βιωσιμότητα  & ανθεκτικότητα.

Ο βαθμός ωριμότητας είναι αυτός που θα ορίσει το πότε ο Οργανισμός θα είναι έτοιμος για το επόμενο βήμα, το οποίο αφορά στη σύγκλιση των διεργασιών Φυσικής Ασφάλειας, Ψηφιακής Ασφάλειας και Ασφάλειας Πληροφοριών (Security Resilience), ώστε να διαχειριζόμαστε τους κινδύνους που αφορούν την ασφάλεια, ελέγχοντας ολιστικά τον τρόπο διαχείρισης των σημαντικών συμβάντων ασφάλειας.

Φυσική εξέλιξη του παραπάνω θα είναι η μετάβαση από τον Chief Information Security Officer στον Chief Security Officer ο οποίος θα ελέγχει πλέον και τις εσωτερικές διαδικασίες, για το περιορισμό των κινδύνων ασφαλείας ψηφιακών και φυσικών πόρων, των λειτουργικών διεργασιών αλλά και του προσωπικού.