Kas yra žurnalų neregistruojantis (no-logs) VPN? Audituoti tiekėjai, nepriklausomos ataskaitos ir kaip atskirti tikrą teiginį nuo rinkodaros
Žurnalų neregistruojantis VPN yra toks, kuris nefiksuoja srauto, DNS ar ryšio metaduomenų, galinčių identifikuoti naudotoją. Teiginys turi reikšmę tik tada, kai nepriklausomas auditorius patikrino tikrąją infrastruktūrą. Štai kaip tai atpažinti.
Ką iš tikrųjų reiškia "no-logs"
Žurnalų neregistruojantis VPN yra tiekėjas, kuris įsipareigoja nefiksuoti srauto, DNS užklausų, IP adresų ar ryšio laiko žymų, kurias būtų galima susieti su konkrečiu naudotoju. Pats terminas 'no-logs' neturi teisinės apibrėžties. Jį naudoja kiekvieno VPN pagrindinis puslapis. Teiginys tampa prasmingas tik tada, kai nepriklausomas auditorius patikrino tikrąjį serverių parką ir konfigūraciją — ir ataskaita yra paskelbta. 2026 m. duomenimis, visi penki pagrindiniai mokami VPN, kuriuos apžvelgiame (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark), yra paskelbę nepriklausomus auditus.
Ką iš tikrųjų apima paskelbti auditai
Naujausią Mullvad auditą atliko Cure53, jis vyko 2024 m. birželio 3–14 d. (tai ketvirtas auditas iš viso, antras su Cure53). Tai infrastruktūros auditas, apimantis vieną OpenVPN ir vieną WireGuard serverį Mullvad produkcijos parke. Proton VPN sėkmingai išlaikė keturis iš eilės Securitum no-logs auditus (2022, 2023, 2024, 2025). NordVPN išlaikė šešis nepriklausomus no-logs patikinimo vertinimus pagal ISAE 3000: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. ExpressVPN pasitikėjimo centras (Trust Center) išvardija 23 paskelbtus auditus, naujausias — trečiasis KPMG no-logs auditas (2025) bei Cure53/Praetorian Lightway protokolo perrašymo į Rust auditai (2024 m. rugsėjis–spalis). Surfshark turi Deloitte no-logs auditus 2023 ir 2025 m. pagal ISAE 3000.
Kaip atrodo tikras no-logs teiginys
Tris signalai atskiria tikrą no-logs teiginį nuo rinkodaros. Pirma, paskelbta trečiosios šalies ataskaita — ne tinklaraščio įrašas pranešimo spaudai forma, o atsisiunčiamas PDF arba pasitikėjimo centro puslapis su auditoriaus pavadinimu ir data. Antra, audito aprėptis, apimanti infrastruktūrą (konfigūraciją serverio lygmeniu), o ne tik kliento programėlę. Trečia, idealiu atveju — tikras teismo nutarties išbandymas. Mullvad biurus 2023 m. balandžio 18 d. apieškojo Švedijos policija pagal orderį, išduotą pagal Vokietijos teisinio bendradarbiavimo prašymą; Mullvad viešai dokumentavo įvykį, o policija išėjo nepaėmusi klientų duomenų, nes orderyje reikalauti duomenys serveriuose neegzistavo (pagal Mullvad tinklaraščio įrašą apie kratos orderį). PureVPN, priešingai, 2017 m. perdavė FTB ryšio žurnalus Ryan Lin kibernetinio persekiojimo byloje, nepaisydamas ankstesnės savo 'no logs' rinkodaros — ši byla yra kanoninis atvirkštinis pavyzdys, kai rinkodaros teiginį paneigia tikras teisinis priverstinis reikalavimas.
Jurisdikcija svarbi mažiau nei tai, ką tiekėjas saugo
VPN rinkodara daug akcentuoja jurisdikciją. 5 / 9 / 14 Eyes žvalgybinio dalijimosi susitarimai (JAV, JK, Kanada, Australija, NZ + Danija, Prancūzija, Nyderlandai, Norvegija + Vokietija, Belgija, Italija, Švedija, Ispanija) yra realūs, ir Švedijoje ar Nyderlanduose registruotas VPN patenka į jų aprėptį. Tačiau tiekėjas ne Eyes jurisdikcijoje, kuris saugo ryšio žurnalus, yra blogesnis nei no-logs tiekėjas bet kurioje vietoje. Mullvad (Švedija, 14 Eyes) ir Proton VPN (Šveicarija, už Eyes ribų) abu yra audituoti; Mullvad krata parodo, kad no-logs konfigūracija svarbesnė nei vėliava žemėlapyje.
Kaip skaityti audito ataskaitą
Atverkite ataskaitą ir ieškokite trijų dalykų. (1) Aprėptis — ar ataskaitoje aprašyta, ką auditorius tyrė, įskaitant kuriuos serverius, kuriuos protokolus, kurį laikotarpį? Bendros frazės 'auditavo politiką' be konkretumų yra silpnesnės nei 'ištyrė VPN konfigūracijos failus ir serverių konfigūracijas'. (2) Metodas — Securitum ataskaitos apie Proton aprašo konfigūracijos peržiūrą vietoje ir pokalbius su darbuotojais; Deloitte NordVPN ataskaitos remiasi ISAE 3000 (tarptautiniu patikinimo užduočių standartu); Cure53 Mullvad ataskaitos aprašo baltosios dėžės (white-box) saugumo testavimą produkcijos serveriuose. (3) Išvados — kiekvienas auditas ką nors randa. Cure53 2024 m. birželio Mullvad auditas rado dvi problemas (vieną žemo, vieną vidutinio lygio); Praetorian 2024 m. Lightway auditas rado dvi mažos rizikos problemas. Išvadų buvimas nėra blogai — bet kokių išvadų visiškas nebuvimas būtų įtartinas. Svarbiausia yra rimtumas ir ištaisymas.
Ką ignoruoti
Ignoruokite bendrus 'privačiausio VPN' reitingus, kurie neatskleidžia savo metodikos. Ignoruokite tiekėjus, kurių 'auditas' yra mažos konsultacijų įmonės laiškas, niekada nepažvelgęs į serverius. Ignoruokite VPN palyginimo svetaines, kurios nepateikia nuorodos į tikrąją ataskaitą — ataskaita turi datą ir publikuojančią šalį; jei svetainė į ją nepateikia nuorodos, teiginio neįmanoma patikrinti. Ignoruokite jurisdikciją kaip pagrindinį signalą. Vienintelis patikimas signalas yra paskelbta audito aprėptis ir, kur tokia yra, teisinio priverstinio reikalavimo bylų istorija.
Šaltiniai
Mullvad auditas: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Mullvad 2023 m. krata: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Proton auditai: protonvpn.com/blog/no-logs-audit. NordVPN auditai: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN Trust Center: expressvpn.com/trust. Surfshark auditas: surfshark.com/blog/deloitte-nologs-policy-verified-again. PureVPN/Lin byla: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Visi URL atverti 2026-04-30.