Računsko sodišče je izvedlo revizijo učinkovitosti JAVNEGA ZAVODA LEKARNA LJUBLJANA (v nadaljevanju: Lekarna Ljubljana) pri upravljanju neprekinjenega poslovanja v obdobju od 1. 1. 2020 do 31. 10. 2021. Po mnenju računskega sodišča je bila Lekarna Ljubljana v obdobju, na katero se nanaša revizija, pri upravljanju neprekinjenega poslovanja učinkovita.
Lekarna Ljubljana je največji javni lekarniški zavod v Sloveniji. Nudi lekarniške in druge storitve v osrednji Sloveniji z mrežo 53 lekarn in spletno lekarno. V avgustu 2019 je Lekarna Ljubljana doživela kibernetski napad z izsiljevalskim virusom, zaradi katerega je za nekaj dni izpadla informacijska podpora vsem poslovalnicam in spletni lekarni. V letu 2019 jo je Vlada Republike Slovenije, v skladu z Zakonom o informacijski varnosti, določila kot enega izmed izvajalcev bistvenih storitev.
Lekarna Ljubljana je svoje strateške usmeritve podrobneje opredelila v Strateškem načrtu 2018–2022, samo strategijo neprekinjenega poslovanja pa je leta 2020 opredelila v Politiki neprekinjenega poslovanja, kjer je opredelila tudi načine izvajanja postopkov v primeru pojava incidentov večjih razsežnosti. Lekarna Ljubljana je že leta 2015 vpeljala sistem vodenja kakovosti, kjer je izvajala ocenjevanje tveganja na poslovnih področjih. V letu 2020 pa je v sistem vodenja kakovosti vključila tudi sistem upravljanja neprekinjenega poslovanja (v nadaljevanju: SUNP) z namenom nemotenega delovanja in čim hitrejše ponovne vzpostavitve poslovnih procesov po incidentih večjih razsežnosti. Lekarna Ljubljana je imela v skladu s Poslovnikom kakovosti vpeljano letno ocenjevanje tveganj na operativni ravni z uporabo FMEA analize procesov, poleg tega je že od vpeljave sistema upravljanja varovanja informacij v letu 2010 tudi izvajala redno oceno tveganj za področje informacijske tehnologije. Osnovni cilj SUNP skladno s Politiko neprekinjenega poslovanja informacijskega sistema je bil zagotavljanje delovanja vseh kritičnih aplikacij poslovnega informacijskega sistema (v nadaljevanju: IS) za posamezne poslovne storitve na vseh povezanih lokacijah. Lekarna Ljubljana je leta 2020 sprejela tudi Načrt kriznega komuniciranja, ki je vseboval usmeritve, navodila in obrazce za vzpostavitev učinkovite komunikacije z različnimi deležniki. Lekarna Ljubljana je tudi izvajala verzioniranje in posodabljanje dokumentacije skladno s certifikatom sistema vodenja kakovosti, dokumentacijo za SUNP je imela na voljo na intranetu in v papirni obliki, ni pa še imela vpeljanega dokumentnega sistema. Vzpostavljene je imela postopke neprekinjenega poslovanja, ki določajo ukrepe, ki jih je treba sprejeti med motnjami, kot tudi dokument, ki je opredeljeval izvajanje dela v primeru izrednih dogodkov. Lekarna Ljubljana je pripravila tudi navodilo za delo v času nedostopnosti IS ter vzpostavila strukturo odzivanja tako, da je določila več ekip, ki so bile odgovorne za odziv na motnjo. Sprejeta je bila usmeritev, da v primeru motenj in izpada delovanja IS lekarne ostanejo odprte. Prvi dve uri naj bi posamezne prizadete lekarne izdajale pacientom samo zdravila na "fizični" recept. Po dveh urah pa naj bi posamezna prizadeta lekarna poleg zdravil, predpisanih na "fizičnem" receptu, izdajala tudi živila za posebne zdravstvene namene, predpisana na recept, medicinske pripomočke in zdravila brez recepta.
Lekarna Ljubljana je izvajala in preizkušala postopke neprekinjenega poslovanja, s katerimi je zagotavljala, da so v skladu z njenimi cilji neprekinjenega poslovanja. Lekarna Ljubljana je izvajala notranje presoje v načrtovanih intervalih, in sicer je imela letne presoje sistema vodenja kakovosti, kamor sta spadala tudi sistema upravljanja varovanja informacij in SUNP. V letu 2021 je prvič izvedela tudi zunanji pregled/presojo SUNP v skladu z zahtevami Zakona o informacijski varnosti. Lekarna Ljubljana je neprestano izboljševala SUNP skozi vodenje, načrtovanje in ocenjevanje uspešnosti.
Lekarna Ljubljana je imela okvir/strategijo za neprekinjeno delovanje IS, ki je podpirala procese neprekinjenega poslovanja organizacije. Politika neprekinjenega poslovanja informacijskega sistema, v katero je bil vključen tudi Načrt neprekinjenega delovanja IS, je opredeljevala postopke za zagotavljanje storitev poslovnega IS v primerih odpovedi njegovega delovanja. Načrt neprekinjenega delovanja IS je predvideval obnovo poslovnega IS v zahtevanih časovnih okvirih, ki so jih določili uporabniki. Opredeljeni so bili postopki in način prehoda delovanja na rezervno lokacijo ter redno preizkušanje vseh postopkov. Lekarna Ljubljana je imela za vse aplikacije, sisteme in lokacije, ki so kritična sredstva, določene prioritete, ki so bile v skladu s poslovnimi cilji, poslovnimi tveganji in operativnimi tveganji IS. Lekarna Ljubljana je imela in je vzdrževala dokumente, v katerih so bile navedene soodvisnosti med procesi in aplikacijami. Lekarna Ljubljana je imela 3 lokacije, na katerih je shranjevala podatke. Dinamiko varnostnega kopiranja podatkov posameznih področij so predlagali lastniki področij, Področje za informatiko in sodobne tehnologije pa jo je uvrstilo v 4 sklope/stopnje. Vsaka stopnja je imela opredeljeno pogostost kopiranja in ciljno destinacijo.
Lekarna Ljubljana je izvajala redno testiranje Načrta neprekinjenega delovanja IS, da je zagotavljala, da je sisteme IT mogoče uspešno obnoviti. Testiranje so izvajali zunanji izvajalci, sodelovali so uporabniki Lekarne Ljubljana, vodja Področja za informatiko in sodobne tehnologije pa je izvajala nadzor. Lekarna Ljubljana je že aktivirala Načrt neprekinjenega delovanja IS v primeru izklopa in ponovnega vklopa primarne ali sekundarne lokacije. Lekarna Ljubljana je vzpostavila postopke za ocenjevanje primernosti Načrta neprekinjenega delovanja IS v zvezi z uspešnim ponovnim začetkom izvajanja IT funkcije po katastrofi.
Računsko sodišče od Lekarne Ljubljana ni zahtevalo predložitve odzivnega poročila, je pa podalo nekaj priporočil za nadaljnje izboljšanje stanja. Lekarna Ljubljana je že med revizijo pristopila k izvedbi priporočil.
Lekarna Ljubljana se je veliko naučila v obdobju po kibernetskem napadu v letu 2019 in po oceni računskega sodišča učinkovito pristopila k vpeljavi in upravljanju neprekinjenega poslovanja.
