Что такое VPN без логов? Аудированные провайдеры, независимые отчёты и как отличить реальное заявление от маркетинга
VPN без логов — это сервис, который не записывает трафик, DNS-запросы или метаданные подключения, способные идентифицировать пользователя. Это заявление имеет значение лишь тогда, когда независимый аудитор проверил реальную инфраструктуру. Вот как это распознать.
Что на самом деле означает "без логов"
VPN без логов — это провайдер, который обязуется не записывать трафик, DNS-запросы, IP-адреса или временные метки подключений, которые можно было бы привязать к конкретному пользователю. Само словосочетание 'без логов' не имеет юридического определения. Его использует каждый VPN-сайт. Заявление приобретает смысл только тогда, когда независимый аудитор проверил реальный парк серверов и его конфигурацию — и отчёт опубликован. По состоянию на 2026 год все пять крупных платных VPN, которые мы рассматриваем (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark), опубликовали независимые аудиты.
Что на самом деле охватывают опубликованные аудиты
Последний аудит Mullvad проведён Cure53 с 3 по 14 июня 2024 года (это его четвёртый аудит в целом и второй с Cure53). Это аудит инфраструктуры, охватывающий один сервер OpenVPN и один сервер WireGuard из рабочего парка Mullvad. Proton VPN прошёл четыре аудита отсутствия логов от Securitum подряд (2022, 2023, 2024, 2025). NordVPN прошёл шесть независимых проверок отсутствия логов по стандарту ISAE 3000: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. В Trust Center у ExpressVPN перечислены 23 опубликованных аудита, последние из которых — третий аудит отсутствия логов от KPMG (2025) и аудиты Cure53/Praetorian переписанного на Rust протокола Lightway (сентябрь–октябрь 2024). У Surfshark есть аудиты отсутствия логов от Deloitte 2023 и 2025 годов по стандарту ISAE 3000.
Как выглядит настоящее заявление об отсутствии логов
Реальное заявление об отсутствии логов отличают от маркетинга три признака. Первый — опубликованный отчёт третьей стороны: не запись в блоге в формате пресс-релиза, а скачиваемый PDF или страница trust-center с именем аудитора и датой. Второй — охват аудита, включающий инфраструктуру (конфигурацию на уровне серверов), а не только клиентское приложение. Третий, в идеале, — реальная проверка судебным запросом. Офисы Mullvad были обысканы шведской полицией 18 апреля 2023 года по ордеру, выданному в рамках немецкого запроса о правовом сотрудничестве; Mullvad публично задокументировал это событие, и полиция ушла, не изъяв данных клиентов, потому что данных, которые искал ордер, на серверах не существовало (согласно записи Mullvad в блоге об этом ордере на обыск). PureVPN, напротив, в 2017 году в деле о киберпреследовании Райана Лина предоставил ФБР логи подключений вопреки своему прежнему маркетингу 'без логов' — это хрестоматийный обратный пример маркетингового заявления, опровергнутого реальным юридическим принуждением.
Юрисдикция значит меньше, чем то, что хранит провайдер
VPN-маркетинг придаёт юрисдикции большое значение. Соглашения о разведывательном обмене «5 / 9 / 14 глаз» (США, Великобритания, Канада, Австралия, Новая Зеландия + Дания, Франция, Нидерланды, Норвегия + Германия, Бельгия, Италия, Швеция, Испания) реальны, и VPN, зарегистрированный в Швеции или Нидерландах, попадает в их сферу действия. Но провайдер в юрисдикции вне «глаз», который хранит логи подключений, хуже любого провайдера без логов в любой стране. Mullvad (Швеция, входит в «14 глаз») и Proton VPN (Швейцария, вне «глаз») оба прошли аудит; обыск у Mullvad показывает, что конфигурация без логов важнее флага на карте.
Как читать отчёт об аудите
Откройте отчёт и обратите внимание на три вещи. (1) Охват — описывает ли отчёт, что именно изучал аудитор, включая то, какие серверы, какие протоколы и какой период времени? Общие формулировки вроде 'проверили политику' без конкретики слабее, чем 'изучили конфигурационные файлы VPN и настройки серверов'. (2) Метод — отчёты Securitum для Proton описывают проверку конфигурации на месте и интервью с сотрудниками; отчёты Deloitte для NordVPN ссылаются на ISAE 3000 (международный стандарт заданий, обеспечивающих уверенность); отчёты Cure53 для Mullvad описывают тестирование безопасности методом «белого ящика» на рабочих серверах. (3) Выводы — каждый аудит что-нибудь находит. Аудит Mullvad от Cure53 (июнь 2024) выявил две проблемы (одну низкого, одну среднего уровня); аудит Lightway от Praetorian в 2024 году выявил две проблемы низкого риска. Наличие выводов — это не плохо: подозрительным было бы полное отсутствие каких-либо находок. Важны их серьёзность и устранение.
Что игнорировать
Игнорируйте общие рейтинги «самый приватный VPN», не раскрывающие свою методологию. Игнорируйте провайдеров, чей «аудит» — это письмо от мелкой консалтинговой фирмы, которая никогда не заглядывала на серверы. Игнорируйте сайты сравнения VPN, которые не дают ссылку на сам отчёт — у отчёта есть дата и публикующая сторона; если сайт на него не ссылается, заявление невозможно проверить. Игнорируйте юрисдикцию как главный признак. Единственный надёжный сигнал — это опубликованный охват аудита плюс, где она есть, история случаев юридического принуждения.
Источники
Аудит Mullvad: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Обыск у Mullvad в 2023 году: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Аудиты Proton: protonvpn.com/blog/no-logs-audit. Аудиты NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. Trust Center ExpressVPN: expressvpn.com/trust. Аудит Surfshark: surfshark.com/blog/deloitte-nologs-policy-verified-again. Дело PureVPN/Лина: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Все URL получены 2026-04-30.