Ada yang disembunyikan? Mengapa penyedia VPN Anda harus diaudit
Tentang Penulis
Sebastian adalah pendiri hide.me VPN dan dia telah bekerja di industri keamanan internet selama lebih dari satu dekade. Dia mulai hide.me VPN, 6 tahun yang lalu untuk membuat keamanan internet dan privasi dapat diakses oleh semua orang.
Dipercayai oleh jutaan pencari kebebasan di seluruh dunia, layanan VPN berusaha keras untuk menawarkan kepada penggunanya privasi terbaik tetapi juga, keamanan maksimum. Atas dasar itu, Anda semestinya berharap bahwa penyedia VPN yang Anda pilih dapat lulus melalui audit sistem informasi. Memang tampaknya semakin banyak penyedia VPN mengumumkan hasil audit tersebut untuk membuktikan kepada dunia bahwa mereka tidak menyembunyikan apa pun dan bahwa semuanya ada di atas papan.
Dalam industri VPN, audit tentu saja menjadi tren karena penyedia berusaha untuk melegitimasi klaim mereka dan memasarkan keberadaan yang lebih suci dari pada Anda. Dalam beberapa tahun terakhir, audit independen telah terbukti menjadi cara yang efisien bagi penyedia layanan VPN untuk menguji fitur keamanan mereka, serta memberi pelanggan mereka lebih dari sekadar janji. Dengan organisasi seperti perusahaan ISACA, hingga perusahaan layanan profesional global seperti PricewaterhouseCoopers yang menawarkan keahlian mereka, jenis audit ini tentu saja menambah kecepatan dan meningkatkan kesadaran di dunia yang lebih luas.
(Kredit gambar: Startup Stock Photos / Pixabay)
Apa yang seharusnya tidak dicatat oleh penyedia VPN Anda
Jadi, jenis informasi apa yang berpotensi dimiliki penyedia VPN pada Anda jika Anda memutuskan untuk mendaftar untuk layanan seperti itu? Mungkin lebih mudah di sini untuk menyoroti apa yang seharusnya tidak mereka lakukan; khususnya, VPN tidak boleh menyimpan catatan kegiatan berikut;
- Aktivitas browsing Anda
- Log koneksi Anda
- Rekaman IP VPN yang ditugaskan untuk Anda
- IP asli Anda
- Waktu koneksi Anda
- Sejarah penelusuran Anda
- Situs yang Anda kunjungi
- Lalu lintas keluar Anda
- Konten atau data yang Anda akses
- Permintaan DNS dibuat oleh Anda
VPN apa pun harus berkomitmen pada privasi dan keamanan online penggunanya dan sebagai bagian dari komitmen itu, masuk akal bagi pengguna untuk mengharapkan bahwa setiap VPN melakukan audit keamanan pada sistemnya dan kebijakan larangan-loganya. Ada beberapa pengumuman oleh VPN yang menguraikan revisi kebijakan privasi mereka untuk mengenakannya dengan bangga, "kami adalah perusahaan VPN tanpa log sekarang". Penyedia VPN termasuk Tunnelbear, NordVPN dan ExpressVPN semuanya telah mengumumkan hasil audit tersebut dan sekarang mengklaim kebijakan zero-log dan tidak ada rekaman aktivitas pengguna mereka secara online. Kami sebenarnya telah melakukan audit kami hampir 4 tahun yang lalu yang menimbulkan pertanyaan: mengapa perusahaan lain begitu lama mengejar ketinggalan?
Menggunakan layanan VPN tanpa log harus berarti penyedia Anda tidak mengumpulkan atau mencatat aktivitas Anda secara online. Artinya, ia tidak mengumpulkan atau menyimpan informasi yang dikirimkan melalui VPN. Itu berarti menjelajah 100% secara anonim, sama seperti Anda seharusnya jika Anda menggunakan VPN. Tetapi ada banyak VPN terkenal yang menyimpan catatan sesi penelusuran Anda – artinya Anda tidak sepenuhnya aman atau pribadi. Untuk ketenangan pikiran (dan privasi maksimum) masuk akal untuk memilih penyedia VPN tanpa log.
Audit independen sebagai fitur
Mampu menunjuk ke hasil audit harus benar diadakan di braket yang sama dengan hal-hal seperti kecepatan, harga, jumlah server dll ketika orang datang untuk memilih layanan VPN. Bahkan, ini bisa dibilang faktor yang paling penting untuk dipertimbangkan. Lagi pula, jika VPN tidak dapat membuktikan kepada Anda bahwa mereka tidak merekam aktivitas penjelajahan Anda, riwayat penjelajahan Anda atau bahkan lalu lintas keluar Anda, lalu mengapa ada orang yang mendaftar untuk layanan seperti itu?
Kami juga harus mempertimbangkan kredensial perusahaan mana pun yang melakukan audit ini dan seberapa kuat pelaporan mereka sebenarnya. Setiap sertifikasi yang solid harus memberi peringkat penyedia VPN pada keamanan pengguna dan privasi data pengguna. Setiap kategori kemudian harus memiliki seperangkat kriteria di mana penyedia ini dapat dinilai. Idealnya, hanya penyedia yang dapat memenuhi semua kriteria yang harus disertifikasi. Pengujian keamanan harus menentukan bahwa tingkat keamanan aplikasi web tinggi dan bahwa tidak ada risiko tinggi atau kerentanan risiko menengah terdeteksi. Analisis keamanan kode sumber juga penting di sini untuk menentukan bahwa praktik keamanan terbaik sedang digunakan dalam pengembangan aplikasi bersama dengan langkah-langkah keamanan yang diterapkan dengan benar.
Ini harus menjadi bagian dari pernyataan misi VPN apa pun – untuk melindungi privasi pengguna. Atas dasar itu, minta untuk melihat Laporan Transparansi yang harus merinci jumlah permintaan untuk mengungkapkan data pribadi pengguna yang diterima. Jika VPN tidak dapat menanggapi semua permintaan ini dengan menyatakan, "Kami tidak dapat dan tidak menyimpan log apa pun dan oleh karena itu kami tidak akan dapat memberi Anda informasi lebih lanjut tentang masalah ini", maka mungkin Anda harus bertanya pada diri sendiri mengapa …
Namun, itu juga layak terdengar sebagai peringatan – audit independen bukan peluru perak dan beberapa pengumuman tentang audit VPN harus diambil dengan sedikit garam. PureVPN, setelah semua, tertangkap basah membagikan informasi pengguna ke FBI – sangat banyak karena tidak menyimpan log. Setelah hanya beberapa minggu setelah skandal ini, PureVPN memperbarui kebijakan privasinya untuk mengungkapkan (secara transparan) betapa mereka menjaga privasi pengguna mereka. Kaisar peringatan! Juga, tidak ada yang menghentikan VPN untuk mulai mencatat aktivitas pengguna SETELAH audit dilakukan. Audit apa pun adalah gambaran momentum yang menangkap saat audit – pada akhirnya Anda masih harus mempercayai penyedia. Perlu juga ditunjukkan bahwa banyak penyedia VPN mengungkapkan bagaimana mereka memproses Informasi Identifikasi Pribadi (PII) dan ada beberapa yang memproses lebih banyak data daripada yang diperlukan untuk menyediakan akun dan koneksi VPN.
Dengan banyak penyedia VPN utama memeriksa layanan mereka untuk kemungkinan kerentanan, audit independen terlihat menjadi cara yang efektif untuk mencadangkan klaim keamanan dan privasi yang dibuat oleh penyedia tersebut. Dan dengan beberapa kasus logging profil tinggi yang mengalami erosi negatif terhadap kepercayaan pengguna (mis. PureVPN dan IPVanish), lebih penting dari sebelumnya untuk memverifikasi bahwa klaim VPN Anda benar. Dengan meningkatnya jumlah penyedia VPN dari hari ke hari, audit ini bisa menjadi standar konsumen de-facto untuk memilih penyedia terbaik.
Sebastian Schaub, CEO PT Sembunyikan saya
- Kami juga menyoroti layanan VPN terbaik tahun 2019
