Hvað er log-laust VPN? Endurskoðaðir þjónustuaðilar, óháðar skýrslur og hvernig á að greina raunverulega fullyrðingu frá markaðssetningu
Log-laust VPN er þjónusta sem skráir hvorki umferð, DNS né tengilýsigögn sem gætu auðkennt notanda. Fullyrðingin skiptir aðeins máli þegar óháður úttektaraðili hefur skoðað raunverulega innviði. Hér er hvernig á að greina muninn.
Hvað "log-laust" þýðir í raun
Log-laust VPN er þjónustuaðili sem heitir því að skrá hvorki umferð, DNS-fyrirspurnir, IP-tölur né tengitímastimpla sem hægt væri að rekja til einstaks notanda. Orðið 'log-laust' sjálft hefur enga lögfræðilega skilgreiningu. Hver einasta VPN-heimasíða notar það. Fullyrðingin verður fyrst marktæk þegar óháður úttektaraðili hefur skoðað raunverulegan netþjónaflota og uppsetningu — og skýrslan er birt. Frá og með 2026 hafa öll fimm stóru greiddu VPN-in sem við fjöllum um (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark) birt óháðar úttektir.
Hvað birtu úttektirnar ná raunverulega yfir
Nýjasta úttekt Mullvad er frá Cure53, framkvæmd 3.–14. júní 2024 (fjórða úttektin í heild, önnur með Cure53). Um er að ræða innviðaúttekt sem nær yfir einn OpenVPN- og einn WireGuard-netþjón úr framleiðsluflota Mullvad. Proton VPN hefur staðist fjórar samfelldar log-lausar úttektir frá Securitum (2022, 2023, 2024, 2025). NordVPN hefur staðist sex óháðar log-lausar staðfestingarúttektir samkvæmt ISAE 3000: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. Trúnaðarmiðstöð ExpressVPN listar 23 birtar úttektir, síðast þriðju KPMG log-lausu úttektina (2025) ásamt Cure53/Praetorian-úttektum á Rust-endurritun Lightway-samskiptareglunnar (sept.–okt. 2024). Surfshark hefur log-lausar úttektir frá Deloitte frá árunum 2023 og 2025 samkvæmt ISAE 3000.
Hvernig raunveruleg log-laus fullyrðing lítur út
Þrjú merki greina raunverulega log-lausa fullyrðingu frá markaðssetningu. Í fyrsta lagi: birt skýrsla frá þriðja aðila — ekki bloggfærsla í formi fréttatilkynningar, heldur niðurhalanleg PDF-skrá eða síða trúnaðarmiðstöðvar með nafni og dagsetningu úttektaraðilans. Í öðru lagi: úttektarumfang sem nær yfir innviði (uppsetningu á netþjónastigi), ekki aðeins biðlaraforritið. Í þriðja lagi: helst raunverulegt próf með dómsúrskurði. Skrifstofur Mullvad voru leitaðar af sænsku lögreglunni 18. apríl 2023 samkvæmt húsleitarheimild sem rann frá þýskri réttaraðstoðarbeiðni; Mullvad skráði atburðinn opinberlega og lögreglan fór án þess að leggja hald á viðskiptavinagögn því gögnin sem heimildin krafðist voru ekki til á netþjónunum (samkvæmt bloggfærslu Mullvad um húsleitarheimildina). PureVPN aftur á móti afhenti FBI tengiloggar árið 2017 í netáreitnimáli Ryan Lin — þrátt fyrir fyrri 'log-lausa' markaðssetningu sína. Málið er hið dæmigerða gagndæmi um markaðsfullyrðingu sem afsönnuð var með raunverulegri lögþvingun.
Lögsaga skiptir minna máli en það sem þjónustuaðilinn geymir
VPN-markaðssetning gerir mikið úr lögsögu. Leyniþjónustubandalögin 5 / 9 / 14 Eyes (Bandaríkin, Bretland, Kanada, Ástralía, Nýja-Sjáland + Danmörk, Frakkland, Holland, Noregur + Þýskaland, Belgía, Ítalía, Svíþjóð, Spánn) eru raunveruleg og VPN skráð í Svíþjóð eða Hollandi fellur undir þau. En þjónustuaðili í lögsögu utan Eyes sem heldur tenginlogga er verri en log-laus þjónustuaðili hvar sem er. Mullvad (Svíþjóð, innan 14 Eyes) og Proton VPN (Sviss, utan Eyes) eru báðir endurskoðaðir; húsleitin hjá Mullvad sýnir að log-laus uppsetning skiptir meira máli en fáni á kortinu.
Hvernig á að lesa úttektarskýrslu
Opnaðu skýrsluna og gefðu gaum að þrennu. (1) Umfang — lýsir skýrslan því sem úttektaraðilinn skoðaði, þar á meðal hvaða netþjónum, hvaða samskiptareglum og hvaða tímabili? Almennt orðalag eins og 'skoðaði stefnuna' án nánari smáatriða er veikara en 'skoðaði VPN-uppsetningarskrár og netþjónauppsetningar'. (2) Aðferð — skýrslur Securitum fyrir Proton lýsa uppsetningarskoðun á staðnum og viðtölum við starfsfólk; NordVPN-skýrslur Deloitte vísa til ISAE 3000 (alþjóðlega staðalsins fyrir staðfestingarverkefni); Mullvad-skýrslur Cure53 lýsa white-box-öryggisprófunum á framleiðslunetþjónum. (3) Niðurstöður — hver úttekt finnur eitthvað. Cure53-úttekt Mullvad frá júní 2024 fann tvö atriði (eitt lágt, eitt miðlungs); Lightway-úttekt Praetorian frá 2024 fann tvö lágáhættuatriði. Tilvist niðurstaðna er ekki slæm — algjör skortur á öllum niðurstöðum væri grunsamlegur. Það sem skiptir máli er alvarleiki og úrbætur.
Hvað ætti að hunsa
Hunsaðu almenna 'einkalífsvænasta VPN'-lista sem birta ekki aðferðafræði sína. Hunsaðu þjónustuaðila þar sem 'úttektin' er bréf frá lítilli ráðgjafarstofu sem aldrei skoðaði netþjónana. Hunsaðu VPN-samanburðarsíður sem tengja ekki sjálfa skýrsluna — skýrslan hefur dagsetningu og birtingaraðila; ef síða tengir hana ekki er fullyrðingin óstaðfestanleg. Hunsaðu lögsögu sem aðalmerki. Eina áreiðanlega merkið er birt úttektarumfang ásamt, þar sem það er til staðar, sögu mála um lögþvingun.
Heimildir
Úttekt Mullvad: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Húsleit hjá Mullvad 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Úttektir Proton: protonvpn.com/blog/no-logs-audit. Úttektir NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. Trúnaðarmiðstöð ExpressVPN: expressvpn.com/trust. Úttekt Surfshark: surfshark.com/blog/deloitte-nologs-policy-verified-again. PureVPN/Lin-mál: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Allar vefslóðir sóttar 2026-04-30.