Cloudflare betonar offentligt att man ”inte är värd för innehåll” på sin pass-through-CDN och vidarebefordrar alla klagomål till operatören för webbplatsen, men kritiker menar att detta låter brottslingar glida igenom skyddsnäten. Cloudflares egna transparensrapporter dokumenterar till exempel DMCA- och juridiska nedtagningar, men säger inget om hur ofta bolaget blockerar missbruk. Den här artikeln kommer att visa konkreta fall av obehindrat missbruk, lyfta fram expertanalyser av Cloudflares ogenomskinliga policyer och förklara varför dessa brister bör oroa beslutsfattare och cybersäkerhetsforskare under nya regelverk som NIS2 och EU:s förordning om digitala tjänster (DSA).
Kriminella som utnyttjar Cloudflares infrastruktur
Cyberbrottslingar utnyttjar regelbundet Cloudflares tjänster för att dölja skadliga webbplatser. Spamhaus rapporterar att 10,05% av alla domäner på dess block-lista för domäner finns bakom Cloudflares servrar, långt över det normala. I praktiken pekar angripare ofta redan skadliga domäner om till Cloudflares namnservrar för att dölja ursprungs-IP-adressen. Som Spamhaus förklarar ”maskerar Cloudflare i praktiken den verkliga platsen för servern” och vidarebefordrar helt enkelt abuserapporter till den som kontrollerar webbplatsen/servern.
Detta innebär att rapporter om nätfiske eller skadlig kod hamnar i den kriminellas inkorg – eller hos en likgiltig hostingleverantör. Följden blir att många aktiva nätfiskekampanjer och skadliga webbplatser förblir uppe. Även när missbruket är uppenbart tenderar Cloudflares formulär att automatiskt avslå eller skjuta upp klagomål. Exempelvis konstaterar cybersäkerhetsanalytiker på Excedo Networks att inskickade abuseanmälningar till Cloudflare ofta bara får standardsvar av typen ”kunde inte bekräfta”, vilket låter bedrägerisidor ligga kvar. Kort sagt har Cloudflares massiva CDN- och DNS-nätverk blivit en form av ”bulletproof hosting” för kriminella – ett implicit skydd som döljer deras infrastruktur för försvarare.
En ”innehållsneutral” fasad
Cloudflare vidhåller att man endast tillhandahåller neutral infrastruktur och inte kan ta bort innehåll som inte finns på deras servrar. Utifrån denna logik vidarebefordras abuseanmälningar till webbplatsägare och hostingleverantörer i stället för att Cloudflare agerar direkt. I praktiken menar kritiker att policyn är självbetjänt. Spamhaus kallar den rakt ut för ”problematiskt” – och påpekar att Cloudflare, genom att vägra granska innehåll, i praktiken möjliggör en ”bulletproof hosting”-miljö där enbart Cloudflares egna IP-adresser syns.
Spamhaus noterar att detta är billigt för Cloudflare (”kostnaden för att hantera abuse är mycket låg”) men ”försvagar trust and safety” på internet. I praktiken gör skalan att Cloudflare kan undvika ansvar: missbruk sker ”utanför den egna miljön”, så Cloudflare ingriper inte om man inte tvingas juridiskt eller står under starkt offentligt tryck. Endast i sällsynta, uppmärksammade fall (till exempel extremistforum) har Cloudflare till slut avbrutit tjänster – och då först efter hård kritik.
Otydlig transparens, dolda åtgärder
Cloudflare publicerar halvårsvisa transparensrapporter, men de avslöjar nästan ingenting om utfall i abusehanteringen. Som analytiker på Lawfare noterar fokuserar rapporterna uteslutande på juridiska borttagningsbegäranden (som DMCA-anmälningar) och utelämnar all data om innehållsmoderering. Det finns till exempel ingen redovisning av hur många nätfiskesajter som tagits ner eller hur många anmälningar om trakasserier eller extremism som lett till åtgärd.
I själva verket ”går det inte att veta hur Cloudflares policy tillämpas”, förklarar Lawfare. Förutom ett fåtal välkända nedtagningar (Daily Stormer, 8chan, Kiwi Farms) förblir ”hur, varför och vem” bakom Cloudflares beslut om innehållsmoderering helt oklart. Samtidigt betonar Cloudflare att de flesta av dess tjänster är pass-through-tjänster, som omfattas av minimala transparenskrav enligt EU:s Digital Services Act.
Med andra ord har man som infrastrukturleverantör få skyldigheter att rapportera om abusehantering, vilket skapar en regulatorisk blind fläck. Säkerhetsexperter varnar för att denna lucka kan stå i konflikt med nya lagar: en färsk analys hävdar till exempel att Cloudflares ”brist på transparens” och potentiella skydd av illasinnade aktörer kan sätta offentliga organ på kollisionskurs med EU:s NIS2-regler för cybersäkerhet.
Regulatoriska implikationer och nästa steg
Cloudflares modell väcker brådskande frågor för lagstiftare och forskare. Enligt NIS2 och DSA måste större internettjänster hantera risker och agera skyndsamt mot olagligt innehåll. Ändå gör Cloudflares USA-centrerade, innehållsneutrala ansats att bolaget i stor utsträckning undviker skyldigheter att ta ner innehåll. Som en EU-promemoria påpekar väger Cloudflares enorma räckvidd och affärsmodell ibland tyngre än proaktiva säkerhetsåtgärder.
Lagstiftare kan därför behöva ompröva var ansvaret ska ligga: bör CDN- och DNS-leverantörer behandlas mer som utgivare eller värdar när de medvetet skyddar kriminella sajter? Minst bör, enligt experter, Cloudflare åläggas att publicera detaljerad statistik över abuseanmälningar och vidtagna åtgärder samt samarbeta bättre med brottsbekämpande myndigheter. Utan sådan ansvarsskyldighet ”sker missbruk inte av sig självt – det möjliggörs.”
Slutsats
Cloudflare har ett enormt inflytande över internettrafik, men den nuvarande abusehanteringen lämnar bolaget oansvarigt. Av hänsyn till allmänintresset måste beslutsfattare och säkerhetsforskare verka för större transparens och tillsyn. Först då kan vi säkerställa att Cloudflares viktiga infrastrukturella roll inte undergrävs av en policy som ignorerar tydliga hot.
