Що таке VPN без логів? Аудитовані провайдери, незалежні звіти та як відрізнити реальну заяву від маркетингу
VPN без логів — це сервіс, який не записує трафік, DNS-запити чи метадані з'єднання, що могли б ідентифікувати користувача. Ця заява має значення лише тоді, коли незалежний аудитор перевірив реальну інфраструктуру. Ось як це розпізнати.
Що насправді означає "без логів"
VPN без логів — це провайдер, який зобов'язується не записувати трафік, DNS-запити, IP-адреси чи часові мітки з'єднань, які можна було б пов'язати з окремим користувачем. Сам термін 'без логів' не має юридичного визначення. Його використовує кожна головна сторінка VPN. Заява набуває значення лише тоді, коли незалежний аудитор перевірив реальний парк серверів і конфігурацію — і звіт опубліковано. Станом на 2026 рік усі п'ять великих платних VPN, які ми розглядаємо (Mullvad, Proton VPN, NordVPN, ExpressVPN, Surfshark), опублікували незалежні аудити.
Що насправді охоплюють опубліковані аудити
Найновіший аудит Mullvad проведено компанією Cure53 у період з 3 до 14 червня 2024 року (четвертий аудит загалом, другий із Cure53). Це аудит інфраструктури, що охоплює один сервер OpenVPN і один сервер WireGuard із виробничого парку Mullvad. Proton VPN пройшов чотири послідовні аудити без логів від Securitum (2022, 2023, 2024, 2025). NordVPN пройшов шість незалежних оцінок підтвердження відсутності логів за стандартом ISAE 3000: PwC 2018, PwC 2020, Deloitte 2022, 2023, 2024, 2025. Trust Center ExpressVPN перелічує 23 опублікованих аудити, останній з яких — третій аудит без логів від KPMG (2025) та аудити Cure53/Praetorian щодо переписування протоколу Lightway мовою Rust (вер.–жовт. 2024). Surfshark має аудити без логів від Deloitte за 2023 і 2025 роки за стандартом ISAE 3000.
Як виглядає реальна заява про відсутність логів
Три сигнали відрізняють реальну заяву про відсутність логів від маркетингу. По-перше, опублікований звіт третьої сторони — не допис у блозі у вигляді пресрелізу, а PDF-файл для завантаження або сторінка trust center з назвою та датою аудитора. По-друге, обсяг аудиту, що включає інфраструктуру (конфігурацію на рівні сервера), а не лише клієнтський застосунок. По-третє, в ідеалі — реальна перевірка судовим ордером. Офіси Mullvad обшукала шведська поліція 18 квітня 2023 року на підставі ордера, виданого за німецьким запитом про правову співпрацю; Mullvad публічно задокументував цю подію, а поліція пішла без вилучення даних клієнтів, оскільки даних, які шукав ордер, на серверах не існувало (згідно з дописом у блозі Mullvad щодо ордера на обшук). На противагу цьому PureVPN у 2017 році надав ФБР журнали з'єднань у справі про кіберсталкінг Раяна Ліна, попри попередній маркетинг 'без логів' — ця справа є канонічним зворотним прикладом, коли маркетингова заява була спростована реальним правовим примусом.
Юрисдикція має менше значення, ніж те, що зберігає провайдер
Маркетинг VPN робить багато довкола юрисдикції. Розвідувальні угоди 5 / 9 / 14 Eyes (США, Велика Британія, Канада, Австралія, Нова Зеландія + Данія, Франція, Нідерланди, Норвегія + Німеччина, Бельгія, Італія, Швеція, Іспанія) є реальними, і VPN, зареєстрований у Швеції чи Нідерландах, підпадає під їхню дію. Але провайдер у юрисдикції поза Eyes, який веде журнали з'єднань, гірший за провайдера без логів будь-де. Mullvad (Швеція, у 14 Eyes) і Proton VPN (Швейцарія, поза Eyes) обидва аудитовані; рейд на Mullvad демонструє, що конфігурація без логів важить більше, ніж прапор на мапі.
Як читати звіт про аудит
Відкрийте звіт і зверніть увагу на три речі. (1) Обсяг — чи описує звіт, що саме перевіряв аудитор, включно з тим, які сервери, які протоколи, який часовий проміжок? Загальні формулювання на кшталт 'проаудитували політику' без конкретики слабші за 'перевірили конфігураційні файли VPN та конфігурації серверів'. (2) Метод — звіти Securitum для Proton описують перевірку конфігурації на місці та співбесіди з персоналом; звіти Deloitte для NordVPN посилаються на ISAE 3000 (міжнародний стандарт завдань із надання впевненості); звіти Cure53 для Mullvad описують тестування безпеки методом white-box на виробничих серверах. (3) Висновки — будь-який аудит щось знаходить. Аудит Mullvad від Cure53 у червні 2024 виявив дві проблеми (одну низьку, одну середню); аудит Lightway від Praetorian у 2024 виявив дві проблеми низького ризику. Наявність висновків не є поганим знаком — підозрілою була б повна відсутність будь-яких висновків. Має значення серйозність і спосіб усунення.
Що ігнорувати
Ігноруйте загальні рейтинги 'найприватнішого VPN', які не розкривають своєї методології. Ігноруйте провайдерів, чий 'аудит' — це лист від невеликої консалтингової фірми, яка ніколи не заглядала на сервери. Ігноруйте сайти-порівнювачі VPN, які не дають посилання на сам звіт — звіт має дату й сторону, що його опублікувала; якщо сайт не дає на нього посилання, заяву неможливо перевірити. Ігноруйте юрисдикцію як основний сигнал. Єдиний надійний сигнал — це опублікований обсяг аудиту плюс, де він існує, історія справ із правовим примусом.
Джерела
Аудит Mullvad: mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. Рейд на Mullvad у 2023: mullvad.net/en/blog/mullvad-vpn-was-subject-to-a-search-warrant-customer-data-not-compromised. Аудити Proton: protonvpn.com/blog/no-logs-audit. Аудити NordVPN: nordvpn.com/blog/nordvpn-no-logs-audit-2024. ExpressVPN Trust Center: expressvpn.com/trust. Аудит Surfshark: surfshark.com/blog/deloitte-nologs-policy-verified-again. Справа PureVPN/Lin: bleepingcomputer.com/news/security/cyberstalking-suspect-arrested-after-vpn-providers-shared-logs-with-the-fbi. Усі URL-адреси відкрито 2026-04-30.