Koivusen oma kanta lunnaiden maksamiseen on se, että rikollisen kanssa ei tulisi neuvotella, eikä häntä tulisi häikäilemättömistä toimista palkita.
Hän on hämmästynyt kiristäjän IS:lle esittämästä väitteestä, jonka mukaan useimpien uhrien palkkaamat incident responsea eli tietoturvaloukkauksiin reagointia tarjoavat tietoturvayhtiöt suosittelevat lunnaiden maksamista pienimmän vahingon ja julkisuusharmin tienä.
Koivunen pitää tämänkaltaisia neuvoja maineriskinä koko tietoturva-alalle. Hän huomauttaa, että F-Secure ei koskaan neuvo toimimaan näin, vaikka jotkut ulkomaiset yhtiöt näin tekevätkin.
– Itse en antaisi tällaista neuvoa lähteä antamaan. Lunnaiden maksaminen ruokkii rikollisuutta. Lisäksi lunnaiden piilottaminen kirjanpitoon on vaikeaa ja on nähty tapauksia, jossa lunnaat päätyvät pakotelistoilla oleville tahoille.
Koivunen muistuttaa, ettei ole mitään takeita siitä, että kiristäjä pitäisi sanansa tietojen julkaisematta jättämisestä maksun saatuaankin. Maailmalla on nähty viime aikoina kyberrikollisliigoja, joiden toimintatapoihin on kuulunut uhrin tietojen tuhoaminen ja jopa julkaisu, vaikka lunnaat olisikin maksettu.
– Etkä pysty millään saamaan varmuutta siitä, tuhosiko kiristäjä ainoan kopion datasta. Tämä kannustaa lypsämiseen.