ادعاءات VPN "بدون سجلات": ما تعنيه حقاً

تخيل أنك تتصل بخدمة بريد تعد أنها لا تحتفظ بسجل لمن تُرسل له البريد. الخدمة نفسها آمنة — تستخدم ظروفاً معتمة وقوية. لكن السؤال الحقيقي ليس عن قوة الظرف. السؤال هو: هل تحتفظ الخدمة فعلاً برسالة من يرسل البريد؟ وإذا طرقت الشرطة الباب مع أمر قضائي، هل يمكنها إعطاء الشرطة تلك السجلات؟ هذا بالضبط ما نناقشه عندما نتحدث عن ادعاءات VPN المتعلقة بعدم الاحتفاظ بالسجلات. ما معنى "السجلات" فعلاً؟ عندما تستخدم خدمة VPN، تمرر اتصالاتك عبر خادم تابع لتلك الخدمة. بدون VPN، يرى مزود خدمة الإنترنت الخاص بك — والمواقع التي تزورها — عنوان IP الخاص بك، وهو رقم فريد يُعرّف جهازك على الإنترنت. يعمل مثل عنوان بيتك على الشبكة. لكن خدمة VPN قد تحتفظ بأنواع مختلفة من "السجلات": أيّ مواقع زرتَ، ومتى زرتَها، وكم بيانات استخدمتَ، وحتى بيانات تعريفك (بريدك الإلكتروني أو رقم هاتفك). بعض الخدمات تقول إنها لا تحتفظ بأي من هذه. البعض الآخر يقول إنها تحتفظ ببيانات تعريفك فقط لكن ليس بنشاطك. والفرق مهم جداً. الفرق بين التسويق والتدقيق المستقل عندما تقول شركة "نحن لا نحتفظ بسجلات"، هذا ادعاء تسويقي. قد يكون صادقاً أو قد لا يكون. الطريقة الوحيدة لمعرفة ذلك هي من خلال تدقيق مستقل — عندما تفحص شركة خارجية محايدة أنظمة الخدمة وتتحقق من الادعاءات. لكن ليست كل عمليات التدقيق متساوية. شركات مثل PwC و Deloitte و Cure53 و KPMG أجرت عمليات تدقيق لخدمات VPN مختلفة. ما تفعله هذه الشركات عادة هو فحص الأنظمة التقنية في وقت معين. تتحقق: هل الخوادم نُجهزت بطريقة تمنع حفظ السجلات؟ هل الأكواد البرمجية الموجودة تُحذف البيانات كما تُعلن الشركة؟ لكن هناك حد واضح لما يمكن لعملية التدقيق أن تثبته. التدقيق يفحص اللحظة الحالية فقط. إنها لقطة في الوقت المناسب. لا تستطيع التحقق من أن الخدمة لن تغيّر أنظمتها غداً. ولا تستطيع التحقق مما حدث قبل التدقيق. لماذا تحتفظ بعض الخدمات بالسجلات رغم أنها لا تدّعي ذلك؟ هناك سوابق موثقة. خدمات قالت إنها لا تحتفظ بسجلات، لكن عندما قدمت الحكومات أوامر قضائية، تبين أن الخدمات احتفظت بسجلات كاملة. لماذا يحدث هذا؟ السبب الأول هو التسويق. بعض الشركات تريد المظهر دون الفعل. تقول "بدون سجلات" لأن الناس يشترونها، لكن الحفاظ على السجلات يجعل أنظمتها أسهل وأرخص. السبب الثاني أكثر تعقيداً: الأمان والالتزام. بعض الخدمات قد تقول إنها لا تحتفظ بسجلات، لكنها في الواقع تحتفظ ببيانات للأمان (مثلاً لمنع الاحتيال) أو للامتثال للقانون. القانون في بعض البلدان يُجبر الشركات على الاحتفاظ ببيانات معينة. الولاية القضائية مهمة أكثر مما تتخيل هنا يأتي الجزء الحاسم. حتى لو كانت خدمة VPN صادقة فعلاً بشأن عدم الاحتفاظ بالسجلات، فإن موقع الخادم — والدول التي تخضع لها الشركة — مهم جداً. توجد تحالفات استخباراتية تُسمى "5 Eyes" و "9 Eyes" و "14 Eyes". هذه دول موقّعة على اتفاقيات تتقاسم البيانات الاستخباراتية. إذا كانت خدمة VPN موجودة في دولة من هذه التحالفات، فإن حكومتها قد تطلب البيانات لأسباب أمنية — حتى لو كانت الشركة لا تريد التعاون. هذا لا يعني أن الخدمات خارج هذه التحالفات آمنة تماماً. إنه يعني أن السياق القانوني مهم. الأسئلة الصحيحة التي يجب أن تسأل بدلاً من أن تصدّق ادعاء "بدون سجلات"، اسأل: ١. هل أجرت الشركة تدقيقاً مستقلاً؟ وإذا كانت الإجابة نعم، من أجراه؟ بعض الشركات تختار مُدققين متعاطفين. ٢. ماذا يقول التدقيق بالضبط؟ لا تقرأ الملخص فقط. ابحث عن التقرير الكامل. ٣. متى تم التدقيق؟ إذا كان منذ ثلاث سنوات، فقد تكون الأنظمة قد تغيرت. ٤. في أي دول موجودة خوادم الشركة؟ وفي أي دول مسجلة الشركة نفسها؟ ٥. هل كانت هناك حالات سابقة حيث طلبت الحكومات بيانات من هذه الخدمة؟ قليل من الخدمات تنشر "تقارير الشفافية" تشرح طلبات الحكومة. الخلاصة ادعاء "بدون سجلات" لا يعني شيئاً بدون تحقق مستقل ومستمر. التدقيق مفيد، لكنه ليس ضماناً. الولاية القضائية مهمة. التاريخ مهم. أفضل دفاع لك هو عدم الثقة العمياء بالادعاءات — سواء من شركة VPN أو أي خدمة أخرى. الخطوة التالية: تعرف على كيفية عمل VPN نفسها، وما الذي تحمي فعلاً وما الذي لا تحمي. تعرف على تحالفات 5 و 9 و 14 Eyes وما تعنيه. وفوق كل شيء، تذكر أن لا توجد أداة سحرية تحل جميع مشاكل الخصوصية. كل أداة لها حدود.