Компании, которые проводят независимый аудит VPN-сервисов, действительно существуют. И они, как бы это очевидно не звучало, на самом деле проводят аудиты. Тут разработчики не врут. Задача таких компаний — проверить, что VPN-сервис соответствует заявленным преимуществам: не хранит журналы активности, качественно шифрует соединение и так далее. Тем не менее во всем этом есть несколько существенных «но».
Во-первых, любые выводы, которые аудиторы делают о VPN-сервисе, могут считаться действительными лишь на время этой проверки. Обычно она проходит неделю-две. Все остальное время, когда аудит не проводится, никто не мешает VPN-сервису работать по своему усмотрению.
Во-вторых, нельзя забывать про обновления, которые могут произойти уже после аудита и перечеркнуть его результаты. К примеру, такое случилось с ExpressVPN. В 2022 году компания прошла аудит фирмы F-Secure, который не выявил никаких проблем с безопасностью. И вскоре после этого разработчик выпускает обновление, которое приводит к утечке DNS-запросов и раскрытию пользовательских данных.
В-третьих, компания может деликатно скрыть, какой именно аудит она провела: безопасности, конфиденциальности или инфраструктуры. А иногда проверочные мероприятия могут касаться только одного приложения под одну операционную систему и не учитывать ошибки и баги, которые могут быть в других.
То, что любые VPN-сервисы опасны, уже должно стать очевидно каждому россиянину. Тем не менее разработчики подобных приложений не готовы просто так отдавать пользовательскую аудиторию. Ведь никто не отменял заработок на конфиденциальной информации клиентов. И прохождение аудита — один из способов привлечь пользователя и выделиться среди десятков других VPN-сервисов, созданных с теми же целями. Мой совет простой — не реагируйте на сомнительную рекламу и всегда думайте своей головой.
Автор — член комитета Государственной Думы РФ по информационной политике, информационным технологиям и связи Антон Немкин.