це фізична особа (необов'язково користувач системи), яка порушує політику безпеки системи.