Mikä on lokittomaton VPN? Auditoidut palveluntarjoajat, riippumattomat raportit ja kuinka erottaa todellinen väite markkinoinnista
Lokittomaton VPN on palvelu, joka ei tallenna liikennettä, DNS-kyselyitä tai yhteyden metatietoja, jotka voisivat tunnistaa käyttäjän. Väitteellä on merkitystä vain silloin, kun riippumaton tarkastaja on tutkinut todellisen infrastruktuurin. Näin tunnistat eron.
Mitä "lokittomuus" oikeasti tarkoittaa
Lokittomaton VPN on palveluntarjoaja, joka lupaa olla tallentamatta liikennettä, DNS-kyselyitä, IP-osoitteita tai yhteyden aikaleimoja, jotka voisi yhdistää yksittäiseen käyttäjään. Sanalla 'lokittomaton' itsessään ei ole oikeudellista määritelmää. Jokainen VPN-kotisivu käyttää sitä. Väite muuttuu merkitykselliseksi vasta silloin, kun riippumaton tarkastaja on tutkinut todellisen palvelinjoukon ja kokoonpanon — ja raportti julkaistaan. Vuonna 2026 kaikki viisi suurta maksullista VPN:ää, joita käsittelemme (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark), ovat julkaisseet riippumattomat auditoinnit.
Mitä julkaistut auditoinnit todellisuudessa kattavat
Mullvadin tuorein auditointi on Cure53:n tekemä, suoritettu 3.–14. kesäkuuta 2024 (sen neljäs auditointi kaikkiaan, toinen Cure53:n kanssa). Kyseessä on infrastruktuuriauditointi, joka kattaa yhden OpenVPN- ja yhden WireGuard-palvelimen Mullvadin tuotantojoukosta. Proton VPN on läpäissyt neljä peräkkäistä Securitumin lokittomuusauditointia (2022, 2023, 2024, 2025). NordVPN on läpäissyt kuusi riippumatonta lokittomuusvarmennusta ISAE 3000 -standardin mukaan: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. ExpressVPN:n Trust Center luettelee 23 julkaistua auditointia, viimeisimpänä kolmas KPMG:n lokittomuusauditointi (2025) sekä Cure53:n/Praetorianin auditoinnit Lightway-protokollan Rust-uudelleenkirjoituksesta (syys–lokakuu 2024). Surfsharkilla on Deloitten lokittomuusauditoinnit vuosilta 2023 ja 2025 ISAE 3000 -standardin mukaan.
Miltä todellinen lokittomuusväite näyttää
Kolme signaalia erottaa todellisen lokittomuusväitteen markkinoinnista. Ensinnäkin: julkaistu kolmannen osapuolen raportti — ei lehdistötiedotteen kaltainen blogikirjoitus, vaan ladattava PDF tai Trust Center -sivu, jossa on tarkastajan nimi ja päivämäärä. Toiseksi: auditoinnin laajuus, joka sisältää infrastruktuurin (palvelintason kokoonpanon) eikä pelkästään asiakassovellusta. Kolmanneksi: ihanteellisesti todellinen oikeuden määräyksen testi. Ruotsin poliisi suoritti kotietsinnän Mullvadin toimitiloissa 18. huhtikuuta 2023 etsintäluvalla, joka pohjautui saksalaiseen oikeusapupyyntöön; Mullvad dokumentoi tapahtuman julkisesti, ja poliisi lähti ilman asiakastietoja, koska luvassa vaadittuja tietoja ei ollut olemassa palvelimilla (Mullvadin etsintälupaa koskevan blogikirjoituksen mukaan). PureVPN sen sijaan luovutti vuonna 2017 yhteyslokeja FBI:lle Ryan Linin verkkovainotapauksessa aiemmasta 'lokittomuus'-markkinoinnistaan huolimatta — tapaus on kanoninen vastaesimerkki markkinointiväitteestä, jonka todellinen oikeudellinen pakottaminen kumosi.
Lainkäyttöalue merkitsee vähemmän kuin se, mitä palveluntarjoaja tallentaa
VPN-markkinointi tekee paljon numeroa lainkäyttöalueesta. 5 / 9 / 14 Eyes -tiedustelutietojen jakojärjestelyt (USA, Iso-Britannia, Kanada, Australia, Uusi-Seelanti + Tanska, Ranska, Alankomaat, Norja + Saksa, Belgia, Italia, Ruotsi, Espanja) ovat todellisia, ja Ruotsiin tai Alankomaihin rekisteröity VPN kuuluu niiden piiriin. Mutta palveluntarjoaja Eyes-järjestelyn ulkopuolisella lainkäyttöalueella, joka säilyttää yhteyslokeja, on huonompi kuin lokittomaton palveluntarjoaja missä tahansa. Mullvad (Ruotsi, 14 Eyes -järjestelyssä) ja Proton VPN (Sveitsi, Eyes-järjestelyn ulkopuolella) ovat molemmat auditoituja; Mullvadin ratsia osoittaa, että lokittomalla kokoonpanolla on enemmän merkitystä kuin lipulla kartalla.
Kuinka lukea auditointiraporttia
Avaa raportti ja etsi kolmea asiaa. (1) Laajuus — kuvaako raportti, mitä tarkastaja tutki, mukaan lukien mitkä palvelimet, mitkä protokollat ja minkä aikavälin? Yleisluontoiset ilmaisut kuten 'auditoitiin käytäntö' ilman yksityiskohtia ovat heikompia kuin 'tutkittiin VPN-kokoonpanotiedostot ja palvelinkokoonpanot'. (2) Menetelmä — Securitumin raportit Protonille kuvaavat paikan päällä tehtyä kokoonpanotarkastusta ja henkilöstöhaastatteluja; Deloitten NordVPN-raportit viittaavat ISAE 3000:een (kansainväliseen varmennustoimeksiantostandardiin); Cure53:n Mullvad-raportit kuvaavat white-box-tietoturvatestausta tuotantopalvelimilla. (3) Havainnot — jokainen auditointi löytää jotakin. Cure53:n kesäkuun 2024 Mullvad-auditointi löysi kaksi ongelmaa (yksi matala, yksi keskitaso); Praetorianin vuoden 2024 Lightway-auditointi löysi kaksi vähäriskistä ongelmaa. Havaintojen olemassaolo ei ole huono asia — minkä tahansa havainnon täydellinen puuttuminen olisi epäilyttävää. Merkitystä on vakavuudella ja korjaamisella.
Mitä sivuuttaa
Sivuuta yleisluontoiset 'yksityisin VPN' -sijoituslistat, jotka eivät paljasta menetelmäänsä. Sivuuta palveluntarjoajat, joiden 'auditointi' on pienen konsulttiyrityksen kirje, joka ei koskaan tutkinut palvelimia. Sivuuta VPN-vertailusivustot, jotka eivät linkitä varsinaiseen raporttiin — raportilla on päivämäärä ja julkaiseva osapuoli; jos sivusto ei linkitä siihen, väite on todentamaton. Sivuuta lainkäyttöalue ensisijaisena signaalina. Ainoa luotettava signaali on julkaistu auditoinnin laajuus sekä, missä sellaista on, oikeudellisen pakottamisen tapaushistoria.
Lähteet
Mullvadin auditointi: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Mullvadin ratsia 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Protonin auditoinnit: protonvpn.com/blog/no-logs-audit. NordVPN:n auditoinnit: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN Trust Center: expressvpn.com/trust. Surfsharkin auditointi: surfshark.com/blog/deloitte-nologs-policy-verified-again. PureVPN/Lin-tapaus: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Kaikki URL-osoitteet luettu 2026-04-30.